مشخصات این فایل
عنوان: مزایای Kerberos
فرمت فایل : word( قابل ویرایش)
تعداد صفحات: 37
این مقاله درمورد مزایای Kerberos می باشد.
خلاصه آنچه در مقاله مزایای Kerberos می خوانید :
حافظه نهان گواهی هویت
سرویس گیرنده از یک ناحیه از حافظه فرار بنام حافظه نهان گواهی هویت (Credentials Cache) استفاده می کند. این ناحیه از حافظه بوسیله LSA محافظت می شود و هرگز نمی توان آن را در Pagefile روی درایو دیسک سخت قرار داد. وقتی که کاربر از سیستم log off می کند، هر چیزی در ناحیه حافظه که برای حافظه نهان گواهی هویت به کار می رود، بیرون کشیده می شود.
Kerberos SSP، حافظه نهان گواهی هویت را کنترل می کند و برای بدست آوردن بلیطها و کلیدهای جدید، تا حد ممکن به کار می رود. وقتی که این کارها باید انجام شوند، LSA مسئول اطلاع دادن به Kerberos SSP است.
LSA همچنین وقتی که کاربر logon کرده است، یک کپی از کلمه عبور درهم شده کاربر را در یک ناحیه امن از registry حفظ می کند. وقتی که کاربر log off کند، کلمه عبور درهم سازی شده به دور انداخته می شود. LSA یک کپی از کلمه عبور درهم سازی شده نگهداری می کند، چون شاید TGT منقضی شود. بعد LSA یک روش برای بدست آوردن یک TGT دیگر بدون درخواست کلمه عبور از کاربر، در اختیار Kerberos SSP قرار می دهد. این باعث می شود که این کار بدون مشکل در پس زمینه انجام شود.
تبدیل اسم DNS
Microsoft Kerberos برای پیدا کردن یک KDC موجود برای فرستادن درخواست اعتبار سنجی اولیه به (DNS) Domain Name System وابسته است. تمام کنترل کننده های domain ویندوز 2000، KDC هستند و KDC به صورت _udp.nameofDNSdomain. _kerberos در رکورد محل سرویس DNS (که در رکورد SRV نیز نامیده می شود) ثبت می شود. سرویس گیرنده ها می توانند به دنبال این رکورد SRV بگردند تا آدرس IP کامپیوتری که سرویس KDC را اجرا می کند را پیدا کنند. سرویس گیرنده ای که نتواند رکورد SRV را پیدا کند می تواند با استفاده از اسم domain، به دنبال یک رکورد میزبان (یک رکورد A) بگردد.
اگر کامپیوتر ویندوز 2000، عضو یک محدوده Kerberos متفاوت (نه یک domain ویندوز 2000) باشد، نمی تواند به دنبال رکورد SRV بگردد. در این صورت، اسم سرور KDC در registry کامپیوتر ویندوز 2000، ذخیره می شود. وقتی که کامپیوتر لازم داشته باشد که KDC را پیدا کند، SSP مربوط به
Microsoft Kerberos، اسم domain مربوط به سرور KDC را از registry پیدا میکند و بعد از DNS برای پیدا کردن آدرس IP مربوط به سیستم استفاده می کند. کلید registry زیرا را برای اضافه کردن اسم domain مربوط به Kerberos ویرایش کنید:
HKEY_LOCAL_MACHINE\System\CurrentcontrolSet\Control\LSA\ Kerberos\Domains
توجه: رکوردهای پیدا کننده سرویس (SRV) یک سرویس را به اسم میزبان کامپیوتری که آن سرویس را ارائه می کند، نگاشت می کنند. رکوردهای میزبان (که رکوردهای A نیز نامیده می شوند) یک اسم میزبان را به یک آدرس IP نگاشت میکنند. سرورهای DNS ویندوز 2000 و سرورهای DNS ویندوز NT 4.0 که Service Pack 4 یا بالاتر را اجرا می کنند، از رکوردهای SRV پشتیبانی می کنند. اگر از یک سرور BIND DNS استفاده می نمایید، این سرور حداقل باید نسخه 4.9.6 باشد، تا از رکوردهای SRV پشتیبانی کند.
پورت های UDP و TCP
وقتی که یک سرویس گیرنده، پیغام های Kerberos را به KDC می فرستد، یا وقتی که برخی معیارها تحقق می یابند، به صورت پیش فرض از (UDP)
User Datagram Protocol پورت 88 استفاده می کند. روی یک شبکه اترنت، حداکثر واحد انتقال (MTU) که می توان منتقل کرد، 1500 بایت است. اگر پیغام Kerberos از 1472 بایت کوچکتر باشد، Microsoft Kerberos از UDP به عنوان مکانیزم انتقال استفاده می کند. اگر پیغام بین 1473 بایت و 2000 بایت باشد، IP، قاب (frame) را روی UDP پورت 88 تقسیم می کند (می کشند)، اگر پیغام Kerberos بیش از 2000 بایت باشد، بوسیله (TCP) Transmission Control Protocol روی پورت 88 فرستاده میشود.RFC 1510 بیان میکند که پورت 88 UDP باید برای تمام پیغامهای Kerberos بکاررود،ولی از آنجایی که پیغامهای Microsoft Kerberos می توانند بیشتر از 2000 بایت باشند زیرا SID های کاربری و گروهی در آنها بکار برده می شود، مایکروسافت از پورت 88 TCP نیز استفاده میکند. یک بازنگری اولیه برای RFC 1510 به (IETF) Internet Engineering Task Force ارسال شده است که استفاده از پورت 88 TCP را پیشنهاد کرده است، ولی این بازنگری هنوز در RFC رسمی قرار داده نشده است. قابلیت کار با محدودههای دیگر Kerberos نباید تحت تأثیر قرار گیرد و ارتباطات فقط بین کامپیوترهای ویندوز 2000 رخ می دهد.
داده های اجازه دهی (Authorization Data)
Kerberos فقط هویت موجودیتها را بررسی می کند و به منابعی که می تواند مورد استفاده قرار دهد اجازه می دهد. یک فیلد برای داده های اجازه دهی در بلیط های Kerberos موجود است، ولی Kerberos اطلاعات موجود در فیلد و یا آنچه که باید با اطلاعات انجام شود را کنترل نمی کند.
KDC و Authorization Data
فیلد Authorization Data در یک بلیط مربوط به Microsoft Kerberos از یک لیست از SIDها برای کاربر، از جمله SID مربوط به گروهها تشکیل شده است. KDC این اطلاعات را از Active Directory بدست می آورد و آن را در TGT داده شده به سرویس گیرنده قرار می دهد. وقتی که سرویس گیرنده یک بلیط نشست (یا به اصطلاح مایکروسافت، یک بلیط سرویس) را درخواست می کند، KDC دادهها را از فیلد Authorization Data متعلق به TGT به بلیط نشست کپی می کند. KDC، داده های اجازه دهی را قبل از اینکه دادهها در بلیط نشست ذخیره شود امضاء می کند تا LSA بتواند تشخیص دهد که آیا دادهها تغییر کرده اند یا خیر. LSA، هر بلیط نشست را بررسی می کند تا مطمئن شود که امضاء معتبر است.
سرویس ها و داده های اجازه دهی
بعد از اینکه گواهی های هویت در یک بلیط نشست بوسیله سرور شبکه ای که سرویس روی آن قرار دارد صحت سنجی شد، یک نشانه (token) دستیابی ایجاد میشود. PAC از بلیط نشست استخراج می شود و برای ایجاد یک نشانه تقلید به کار می رود که برای دستیابی به سرویس روی سرور مورد استفاده قرار می گیرد و تا وقتی که اطلاعات موجود در PAC با داده های موجود در (ACL) Access Control List برای سرویس مطابقت می کند، اجازه دستیابی داده می شود.
در Microsoft Kerberos یک بلیط نشست برای دستیابی به سرویس ها روی سیستم های محلی نیز لازم است. همین روند برای دستیابی به منابع محلی رخ میدهد. LSA یک نشانه دستیابی محلی، از PAC موجود در بلیط نشست می سازد.
ابزارهای Kerberos
مایکروسافت دو ابزار به ما ارائه کرده است تا بتوانیم گواهی نامه های Kerberos را مدیریت کنیم. این دو ابزار، Kerberos List و Kerberos Tray هستند. این ابزارها به ما امکان می دهند تا مشخصات گواهی نامه های خود را مشاهده کنید. همچنین میتوانید بلیط هایی را که دیگر مورد نیاز نیستند، حذف کنید. با استفاده از این ابزارها می توانیم بلیطهای Kerberos را از طریق خط فرمان و از داخل یک واسط گرافیکی مدیریت کنیم. این دو ابزار در Windows 2000 Server Resource Kit موجودند. فصل12 «استفاده از ابزارهای مرتبط با امنیت»، شرح میدهد که چگونه Resource Kit را نصب کنید.
Kerberos List
Kerberos List به شما امکان می دهد تا بلیط های Kerberos را از طریق خط فرمان مدیریت کنید. می توانید بلیط های اختصاص داده شده به نشست logon جاری را مشاهده و حذف کنید. تنها فایل مورد نیاز برای استفاده از Kerberos List، Klist.exe است. Kerberos List باید به صورت محلی روی ماشینی که می خواهید بلیط ها را برای آن مدیریت کنید اجرا شود.
Kerberos Tray
Kerberos Tray، درست مثل Kerberos List به شما امکان می دهد تا بلیطهای Kerberos اختصاص داده شده به نشست logon فعلی را مشاهده و حذف کنید. Kerberos Tray یک ابزار گرافیکی است که اسم خود را از آنجا گرفته است که روی System Tray می نشیند و منتظر می ماند تا مورد استفاده قرار گیرد. وقتی که فایل قابل اجرای Kerbtray.exe را اجرا می کنید، یک آیکون مستطیلی سبز رنگ روی System Tray ظاهر خواهد شد. با حرکت دادن اشاره گر به روی این آیکون، می توانید زمان باقی مانده تا انقضای TGT خود را ببینید. با دوبار کلیک کردن روی این آیکون، پنجره Kerberos Tickets باز می شود. این پنجره چهار برگه دارد.
بخشی از فهرست مطالب مقاله مزایای Kerberos
مقدمه
اعتبار سنجی در ویندوز 2000
مزایای اعتبار سنجی Kerberos
استانداردهای اعتبارسنجی Kerberos
نگاه کلی به پروتکل Kerberos
مفاهیم پایه
اعتبار سنجها (Authenticators)
Key Distribution Center
بلیط های نشست (Session Tickets)
بلیط هایی برای اعطای بلیط
سرویس های ارائه شده توسط Key Distribution Center
اعتبار سنجی بین محدوده ای
زیر پروتکلها
TGS Exchange
CS Exchange
Key Distribution Center
Kerberos Tray
دانلود مقاله مزایای Kerberos
