Kerberos实验.ppt

Kerberos实验 电子科技大学 掌握Windows 2003 Server中Kerberos认证服务的创建； 在IPSec中使用Kerberos协议来身份认证 实验目的 Windows 2003 Server中Kerberos认证服务的创建； （1）升级Windows 2003 Server为域控制器； （2）配置DNS服务器 （3）配置Kerberos服务 （4）Windows xp客户端加入域 IPSec中使用Kerberos协议来身份认证 实验内容 安装Windows XP的计算机 安装Windows Server 2003的计算机 活动目录和域控制器 局域网 VMWare虚拟机 实验环境 （1）升级Windows 2003 Server为域控制器 （2）配置DNS服务器 （3）配置Kerberos策略 （4）Windows xp客户端加入域 （5）IPSec中使用Kerberos协议来身份认证。 实验参考步骤 Kerbebos服务的配置过程； 基于Kerberos身份认证的 IPSec配置实验过程； 查阅相关资料，并结合本实验，阐述Windows Server 2003中的Kerberos协议的原理和过程 实验报告 实验预备知识 Windows 2003 Server 中的Kerberos 基本概念 Workgroup vs Domain Active Directory Domain Ctroller 活动目录 包括目录和目录服务。 目录是存储各种对象的容器，基本对象是用户、计算机、文件以及打印机等。 目录服务是使目录中所有对象发挥作用的服务，如用户和资源管理、基于目录的网络服务等。 活动目录是Windows Server 2003网络体系结构中不可分割的重要组件。 Windows 2003的活动目录 活动目录为每个域建立一个目录数据库的副本，这个副本只存储用于这个域的对象。 域、域树、树林构成的层次结构。 如果多个域之间有相互关系，它们可以构成一个域树。 多个域树构成了树林。 这种层次结构便于组织管理以及目录定位。 域 域是活动目录的核心单元，是计算机、用户等对象的容器，一个域的管理权限只限于该域。 每个域至少包括一个域控制器。域控制器为网络用户和计算机提供活动目录服务、存储目录数据并管理用户和域之间的交互。 域控制器就是运行Windows Server 2003服务器的计算机。 域中的用户账户和计算机账户 在域控制器中设置了账户的计算机，只要开机就会连接到域中 用户只有通过自己的用户账户登录这台计算机，才能通过这台计算机来访问域资源。 Windows 2003中的Kerberos Kerberos 是Windows 2003唯一的身份认证机制，通过KDC（密钥分发中心）来体现 KDC以域为其作用范围，使用活动目录进行账号管理，并向客户端提供两个服务： 认证服务（AS） 票证颁发服务（TGS） 概述 只要安装Active Directory和运行一个域控制器，Kerberos就会安装并运行 当一个用户尝试登录时，系统就使用Kerberos对用户进行身份验证。 Windows 2003的Kerberos实现由以下组件组成： KDC 账户数据库 Kerberos策略 KDC（密钥分发中心） KDC服务运行于Active Directory中的每个域控制器 当域控制器启动时，KDC服务自动启动并运行在本地系统账户下，它是本地安全机制LSASS程序的一部分 KDC实现了Kerberos协议定义的两个服务： 认证服务(AS) TGS 账户数据库 使用Kerberos进行身份验证的用户账户是安全主体 按RFC1510规定，有关安全主体的信息必须存储在一个账户数据库中 Windows 2003不是定义一个单独的账户数据库；而是使用Active Directory存储域中有关安全主体的信息。 Kerberos策略 Windows 2003的Kerberos策略可在域一级设置 强制用户登录限制：这个策略被默认启用． 服务票证最长寿命：服务票证是提供给应用服务器的TGT。这个设置必须大于10分钟，小于用户票证最长寿命。它以分钟计量，默认值是600(10小时)。 用户票证最长寿命：用户票证是提供给TGS的TGT．这个设置按小时计量，默认值是10。 用户票证续订最长寿命：TGT被缓存在用户工作站中，但过一段指定的时间后，必须被更新．这个设置以天计量，默认值是7。 计算机时钟同步的最大容差: 默认设置是5分钟。 用户登录到windows 2003的过程 (1)用户按Ctrl+Alt+Delete开始登录； (2)用户提供用户名、密码和域名，winlogo