搜索
Kerberos实验电子科技大学掌握Windows2003Server中Kerberos认证服务的创建;在IPSec中使用Kerberos协议来身份认证实验目的Windows2003Server中Kerberos认证服务的创建;(1)升级Windows2003Server为域控制器;(2)配置DNS服务器(3)配置Kerberos服务(4)Windowsxp客户端加入域IPSec中使用Kerberos协议来身份认证实验内容安装WindowsXP的计算机安装WindowsServer2003的计算机活动目录和域控制器局域网VMWare虚拟机实验环境(1)升级Windows2003Server为域控制器(2)配置DNS服务器(3)配置Kerberos策略(4)Windowsxp客户端加入域(5)IPSec中使用Kerberos协议来身份认证。实验参考步骤Kerbebos服务的配置过程;基于Kerberos身份认证的IPSec配置实验过程;查阅相关资料,并结合本实验,阐述WindowsServer2003中的Kerberos协议的原理和过程实验报告实验预备知识Windows2003Server中的Kerberos基本概念WorkgroupvsDomainActiveDirectoryDomainCtroller活动目录包括目录和目录服务。目录是存储各种对象的容器,基本对象是用户、计算机、文件以及打印机等。目录服务是使目录中所有对象发挥作用的服务,如用户和资源管理、基于目录的网络服务等。活动目录是WindowsServer2003网络体系结构中不可分割的重要组件。Windows2003的活动目录活动目录为每个域建立一个目录数据库的副本,这个副本只存储用于这个域的对象。域、域树、树林构成的层次结构。如果多个域之间有相互关系,它们可以构成一个域树。多个域树构成了树林。这种层次结构便于组织管理以及目录定位。域域是活动目录的核心单元,是计算机、用户等对象的容器,一个域的管理权限只限于该域。每个域至少包括一个域控制器。域控制器为网络用户和计算机提供活动目录服务、存储目录数据并管理用户和域之间的交互。域控制器就是运行WindowsServer2003服务器的计算机。域中的用户账户和计算机账户在域控制器中设置了账户的计算机,只要开机就会连接到域中用户只有通过自己的用户账户登录这台计算机,才能通过这台计算机来访问域资源。Windows2003中的KerberosKerberos是Windows2003唯一的身份认证机制,通过KDC(密钥分发中心)来体现KDC以域为其作用范围,使用活动目录进行账号管理,并向客户端提供两个服务:认证服务(AS)票证颁发服务(TGS)概述只要安装ActiveDirectory和运行一个域控制器,Kerberos就会安装并运行当一个用户尝试登录时,系统就使用Kerberos对用户进行身份验证。Windows2003的Kerberos实现由以下组件组成:KDC账户数据库Kerberos策略KDC(密钥分发中心)KDC服务运行于ActiveDirectory中的每个域控制器当域控制器启动时,KDC服务自动启动并运行在本地系统账户下,它是本地安全机制LSASS程序的一部分KDC实现了Kerberos协议定义的两个服务:认证服务(AS)TGS账户数据库使用Kerberos进行身份验证的用户账户是安全主体按RFC1510规定,有关安全主体的信息必须存储在一个账户数据库中Windows2003不是定义一个单独的账户数据库;而是使用ActiveDirectory存储域中有关安全主体的信息。Kerberos策略Windows2003的Kerberos策略可在域一级设置强制用户登录限制:这个策略被默认启用.服务票证最长寿命:服务票证是提供给应用服务器的TGT。这个设置必须大于10分钟,小于用户票证最长寿命。它以分钟计量,默认值是600(10小时)。用户票证最长寿命:用户票证是提供给TGS的TGT.这个设置按小时计量,默认值是10。用户票证续订最长寿命:TGT被缓存在用户工作站中,但过一段指定的时间后,必须被更新.这个设置以天计量,默认值是7。计算机时钟同步的最大容差:默认设置是5分钟。用户登录到windows2003的过程(1)用户按Ctrl+Alt+Delete开始登录;(2)用户提供用户名、密码和域名,winlogon服务将这些信息发送到LSA进行验证;(3)LSA使用一个散列函数将用户的密码转换成一个加密的密钥;(4)LSA执行一个DNS搜索,以获得域的KDC的IP地址,LSA联系KDC的AS服务以获得TGT票证。(5)LSA向KDC的TGS服务请求服务票证,服务票证传递给用户。(6)用户使用服务票证请求使用计算机上的本地系统服务