покладаються на Active Directory як на механізм зберігання інформації безпеки, такий як ієрархія доменів, довірчі відносини, ключі криптографії, сертифікати, політики й основні облікові записи безпеки.
Всі механізми безпеки Windows 2000 інтегровані з Active Directory .
Хоча Active Directory не є службою безпеки, її можна зробити безпечної: контейнери та об'єкти Active Directory мають списки контролю доступу ( ACL ), так само як файли NTFS . Дозволи в Active Directory можна застосовувати в чому аналогічно NTFS . На відміну від дозволів файлової системи NTFS , можна встановлювати дозволу для полів всередині конкретних об'єктів так, щоб різні користувачі груп безпеки були відповідальні за частини даних об'єкта.
В
6.1. Аутентифікація Kerberos і безпека домену
В
Аутентифікація Kerberos була розроблена Массачусетським технологічним інститутом ( Massachusetts Institute of Techology , MIT ) для реалізації межкомпьютерной довірчої системи, здатної перевіряти справжність принципалів безпеки (таких, як користувач або комп'ютер) через відкриту небезпечну мережу. Kerberos не залежить від аутентифікації, здійснюваної беруть участь комп'ютерами, або збереження даних при передачі по мережі. З цієї причини Kerberos ідеальна для аутентифікації через Інтернет або у великих мережах.
Kerberos діє як надійна служба аутентифікації третьої фірми, використовуючи загальні секретні ключі .. В Windows 2000 загальний секретний ключ генерується при вході комп'ютера в домен. Оскільки обидві сторони сеансу Kerberos довіряють KDC , вони довіряють один одному. На практиці це довіру реалізовано як безпечний обмін зашифрованими ключами, які підтверджують учасникам взаємодії ідентифікаційні дані іншого боку.
Аутентифікація Kerberos працює таким чином.
1. Клієнт запрошувати можливий набір ідентифікаційних даних для даного сервера у KDC , відправляючи запит в простому текстовому форматі, що містить ім'я клієнта (ідентифікатор).
2. KDC шукає секретні ключі, як клієнта, так і сервера в своїй базі даних ( Active Directory ) і створю...
