مزایای Kerbros برای شبكه در ویندوز 2000
Kerberos نسخه 5، پروتكل اعتبار سنجی پیش فرض شبكه برای ویندوز 2000 است Kerberos پروتكل جدیدی نیست كه مایكروسافت اختراع كرده باشد، بلكه از سالها قبل در دنیای یونیكس مورد استفاده قرار گرفته است مایكروسافت اعتبار سنجی شبكهای Kerberos را در ویندوز 2000 برای بالا بردن امنیت پیاده سازی كرده است، زیرا سرویس ها و سرورهای شبكه باید بدانند كه یك سرویس گی |
دسته بندی | کامپیوتر |
فرمت فایل | doc |
حجم فایل | 24 کیلو بایت |
تعداد صفحات فایل | 39 |
- ارسال اعتبارسنجی: امكان می دهد كه درخواست برای سرویس را از طرف یك كاربر به ارائه كننده سرویس قابل اطمینان دیگر محول كنیم.
- سیستم های رمزنگاری قابل جایگزینی: از چندین متد رمزنگاری پشتیبانی می كند. نسخههای قبلیKerberos، فقط از رمزنگاری DES پشتیبانی می كردند.
- كلیدهای زیر نشست (subsession): به client و سرور امكان می دهد تا یك كلید زیر نشست كوتاه مدت را برای یك بار استفاده برای تبادل های نشست مورد مذاكره قرار دهند.
- زمان دوام بیشتر برای بلیط: حداكثر زمان بلیط در Kerberos v4، 25/21 ساعت بود. Kerberos v5 اجازه می دهد كه بلیط ماهها دوام بیاورد.
اعتبار سنجی در ویندوز 2000
ویندوز 2000 برای اعتبار سنجی هویت كاربر، پنج روش دارد:
- Windows NT LAN Manager (NTLM)
- Kerberos v5
- Distributed Password Authentication (DPA)
- Extensible Authentication Protocol (EAP)
- Secure Channel (Schannel)
ویندوز 2000، فقط از NTLM و Kerberos برای اعتبار سنجی شبكه ای استفاده می كند و سه پروتكل دیگر برای اعتبارسنجی در اتصالهای شماره گیری یا اینترنت مورد استفاده قرار می گیرند.
ویندوز NT 4.0 از (NTLM) Windows NT LAN manager به عنوان پروتكل اعتبار سنجی شبكه ای پیش فرض استفاده می كند. به این دلیل NTLM هنوز در ویندوز 2000 وجود دارد تا سازگاری با نسخه های قبلی سیستم عامل های مایكروسافت حفظ شود. NTLM همچنین برای اعتبار سنجی logon به كامپیوترهای مستقل ویندوز 2000 به كار می رود.Kerberos، اعتبار سنجی شبكه ای پیش فرض برای ویندوز 2000 است.
Kerberos پروتكل اعتبارسنجی پر استفاده ای است كه بر یك استاندارد باز بنا نهاده شده است. تمام كامپیوترهای ویندوز 2000 از Kerberos v5 در محیط شبكه ای استفاده می كنند، به غیر از شرایط زیر:
- كامپیوترهای ویندوز 2000 وقتی كه به سرورهای ویندوز NT اعتبار سنجی می شوند از NTLM استفاده می كنند.
- وقتی كه كامپیوترهای ویندوز 2000 به منابع domainهای ویندوز NT 4.0 دستیابی پیدا می كنند از NTLMاستفاده می كنند.
- وقتی كه كنترل كننده های domain ویندوز 2000، clientهای ویندوز NT 4.0 را اعتبار سنجی می كنند از NTLMاستفاده می كنند.
- Login كردن به صورت محلی به یك كنترل كننده domain ویندوز 2000.
- ویندوز 2000.
(DPA) Distributed Password Authentication یك پروتكل اعتبارسنجی است كه روی اینترنت به كار می رود تا به كاربران امكان دهد تا از یك كلمه عبور برای اتصال به هر سایت اینترنتی كه به یك سازمان عضویت متعلق است، استفاده كنند. DPA توسط ویندوز 2000 پشتیبانی شده است ولی به همراه آن ارائه نشده است. شما باید PDA را به صورت جداگانه و به صورت یك محصول اضافی بخرید.
(EAP) Extensible Authentication Protocol یك گسترش برای پروتكل Point-to-Point است كه برای اتصال های شماره گیری به اینترنت به كار می رود. هدف EAP این است كه اضافه كردن پویای ماژول های Plug-in اعتبار سنجی را هم در سمت سرور و هم در سمت سرویس گیرنده از یك اتصال اجازه دهد. اطلاعات بیشتر در مورد EAP در (EAP) PPP Extensible Authentication و Request for Comments (RFC) 2284 مورخ مارس 1998 یافت می شود. همچنین می توانید این RFC و RFCهای دیگر را در آدرس www.rfc-editor.org/ پیدا كنید.