Active Directory管理和构架-第4部分(身份认证Kerberos及LDAP协议).pptVIP

demo 实验4-2 用于管理活动目录的 11 个基本工具 实验4-3 利用CSVDE命令实现域用户账户的批量添加 小结 Kerberos概念 Kerberos V5 工作原理 什么是LDAP LDAP定义了四种基本模型 * * Example: Store e-mail addresses for users… does not require frequent updating. * * * 议题 Kerberos协议 LDAP协议 第4部分 身份认证kerberos及ldap协议 身份认证KERBEROS 内容 Kerberos概念 Kerberos V5 工作原理 Ticket的安全传递 启用 Kerberos V5 身份验证 引言 Kerberos最初是MIT（麻省理工学院）为Athena项目开发的，是TCP/IP网络设计的可信任的第三方认证协议 Kerberos提供了一种在开放式网络环境下进行身份认证的方法，并允许个人访问网络中不同的机器，它使网络上的用户可以相互证明自己的身份 Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者” 引言 Kerberos采用对称密钥体制（采用DES，也可用其它算法代替）对信息进行加密 基本思想是：由于Kerberos是基于对称密码体制，它与网络上的每个实体分别共享一个不同密钥，能正确对信息进行解密的用户就是合法用户。 用户在对应用服务器进行访问之前，必须先从第三方（Kerberos服务器）获取该应用服务器的访问许可证（ticket） Kerberos概述 网络上的Kerberos服务器起着可信仲裁者的作用，可提供安全的网络鉴别，允许个人访问网络中不同的机器。 基于对称密码学，与网络上的每个实体分别共享一个不同的秘密密钥，是否知道该秘密密钥便是身份的证明。主要包括以下几个部分： 客户机(client) 服务器(server) 认证服务器(AS) 票据授予服务器（ticket-granting server，TGS） Kerberos V5 工作原理概述 Kerberos V5 工作原理 Kerberos协议分为两个部分 1 . Client向KDC发送自己的身份信息，KDC从Ticket Granting Service得到TGT(ticket-granting ticket)， 并用协议开始前Client与KDC之间的密钥将TGT加密回复给Client。此时只有真正的Client才能利用它与KDC之间的密钥将加密后的TGT解密，从而获得TGT 2. Client利用之前获得的TGT向KDC请求其他Service的Ticket，从而通过其他Service的身份鉴别。 Ticket的安全传递 概括起来说Kerberos协议主要做了两件事 1、Ticket的安全传递。 2、Session Key的安全发布。 启用 Kerberos V5 身份验证 对于在安装过程中所有加入到 Windows Server?2003 或 Windows 2000 域的计算机都默认启用 Kerberos V5 身份验证协议。Kerberos 可对域内的资源和驻留在受信任的域中的资源提供单一登录。 使用 Kerberos V5 进行成功的身份验证需要两个客户端系统都必须运行 Windows 2000、Windows Server?2003 家族或 Windows?XP Professional 操作系统。 使用 Kerberos 进行身份验证的计算机必须使其时间设置在 5 分钟内与常规时间服务同步，否则身份验证将失败。 计算机时钟同步的最大容差 本安全设置确定 Kerberos?V5 所允许的客户端时钟和提供 Kerberos 身份验证的 Windows Server 2003 域控制器上的时间的最大差值（以分钟为单位）。 为防止“轮番攻击”，Kerberos V5 在其协议定义中使用了时间戳。为使时间戳正常工作，客户端和域控制器的时钟应尽可能的保持同步。 配置此安全设置：计算机配置\Windows 设置\安全设置\帐户策略\Kerberos 策略\ demo 实验4-0 Kerberos V5身份验证协议相关设置 LADP（轻型目录访问协议) 内容 何谓目录服务 目录服务与数据库 LDAP客户端/服务器与X.500服务器之间的关系 什么是LDAP LDAP定义了四种基本模型 何谓目录服务 一种在分布式环境中发现目标的方法 目录包括两个主要组成部分： 数据库 规划—用来描述数据 分布式存在 协议 访问数据 处理数据 数据库X.500 和目录访问协议 (DAP)。 目录服务与数据库 二者有许多共同点 均允许对存储数据进行访问 目录服务 ? 数据库 目录主要用于读取 目录不适于进