《Active Directory管理和构架-第4部分(身份认证Kerberos及LDAP协议).ppt》由会员分享,可在线阅读,更多相关《Active Directory管理和构架-第4部分(身份认证Kerberos及LDAP协议).ppt(32页珍藏版)》请在三一文库上搜索。
1、议题,Kerberos协议 LDAP协议,第4部分 身份认证kerberos及ldap协议,身份认证KERBEROS,内容,Kerberos概念 Kerberos V5 工作原理 Ticket的安全传递 启用 Kerberos V5 身份验证,引言,Kerberos最初是MIT(麻省理工学院)为Athena项目开发的,是TCP/IP网络设计的可信任的第三方认证协议 Kerberos提供了一种在开放式网络环境下进行身份认证的方法,并允许个人访问网络中不同的机器,它使网络上的用户可以相互证明自己的身份,Kerberos这一名词来源于希腊神话“三个头的狗地狱之门守护者”,引言,Kerberos采用对
2、称密钥体制(采用DES,也可用其它算法代替)对信息进行加密 基本思想是:由于Kerberos是基于对称密码体制,它与网络上的每个实体分别共享一个不同密钥,能正确对信息进行解密的用户就是合法用户。 用户在对应用服务器进行访问之前,必须先从第三方(Kerberos服务器)获取该应用服务器的访问许可证(ticket),Kerberos概述,网络上的Kerberos服务器起着可信仲裁者的作用,可提供安全的网络鉴别,允许个人访问网络中不同的机器。 基于对称密码学,与网络上的每个实体分别共享一个不同的秘密密钥,是否知道该秘密密钥便是身份的证明。主要包括以下几个部分: 客户机(client) 服务器(ser
3、ver) 认证服务器(AS) 票据授予服务器(ticket-granting server,TGS),Kerberos V5 工作原理概述,Kerberos V5 工作原理,Kerberos协议分为两个部分 1 . Client向KDC发送自己的身份信息,KDC从Ticket Granting Service得到TGT(ticket-granting ticket), 并用协议开始前Client与KDC之间的密钥将TGT加密回复给Client。此时只有真正的Client才能利用它与KDC之间的密钥将加密后的TGT解密,从而获得TGT 2. Client利用之前获得的TGT向KDC请求其他Ser
4、vice的Ticket,从而通过其他Service的身份鉴别。,Ticket的安全传递,概括起来说Kerberos协议主要做了两件事 1、Ticket的安全传递。 2、Session Key的安全发布。,启用 Kerberos V5 身份验证,对于在安装过程中所有加入到 Windows Server2003 或 Windows 2000 域的计算机都默认启用 Kerberos V5 身份验证协议。Kerberos 可对域内的资源和驻留在受信任的域中的资源提供单一登录。 使用 Kerberos V5 进行成功的身份验证需要两个客户端系统都必须运行 Windows 2000、Windows Ser
5、ver2003 家族或 WindowsXP Professional 操作系统。 使用 Kerberos 进行身份验证的计算机必须使其时间设置在 5 分钟内与常规时间服务同步,否则身份验证将失败。,计算机时钟同步的最大容差,本安全设置确定 KerberosV5 所允许的客户端时钟和提供 Kerberos 身份验证的 Windows Server 2003 域控制器上的时间的最大差值(以分钟为单位)。 为防止“轮番攻击”,Kerberos V5 在其协议定义中使用了时间戳。为使时间戳正常工作,客户端和域控制器的时钟应尽可能的保持同步。 配置此安全设置:计算机配置Windows 设置安全设置帐户策
6、略Kerberos 策略,demo,实验4-0 Kerberos V5身份验证协议相关设置,LADP(轻型目录访问协议),内容,何谓目录服务 目录服务与数据库 LDAP客户端/服务器与X.500服务器之间的关系 什么是LDAP LDAP定义了四种基本模型,何谓目录服务,一种在分布式环境中发现目标的方法 目录包括两个主要组成部分: 数据库 规划用来描述数据 分布式存在 协议 访问数据 处理数据 数据库X.500 和目录访问协议 (DAP)。,目录服务与数据库,二者有许多共同点 均允许对存储数据进行访问 目录服务 数据库 目录主要用于读取 目录不适于进行频繁的更新 本质上属于典型的分布式结构,X.
7、500,X.500是由国际电信标准组织所制定的目录服务技术标准,由于架构制定过于庞大复杂且耗费系统资源,所以很难实作而不被业界采用 后来OSI为了改善上述问题,便针对X.500标准进行精简,重新规划一种较简洁又有效率的通讯协议,即LDAP(Lightweight Directory AccessProtocol,轻型目录访问协议) LDAP最早是被当作X.500的前端通讯协议,后来则逐渐演变成以LDAP服务器为主,LDAP客户端/服务器与X.500 之间的关系,什么是LDAP,LDAP (轻量级目录访问协议)是一种协议定义LDAP服务器和LDAP客户端的之间通讯。 LDAP服务器存储“目录”
8、,提供LDAP的客户访问 LDAP的是所谓的轻 ,因为它是一个体积较小,采用TCP/IP,相对于X.500 (目录访问协议)的定义在OSI的网络协议栈上。 LDAP服务器分层存储目录信息。,LDAP定义了四种基本模型,信息模型,LDAP的信息模型是以模式(Schema)为基础的,以项目(Entry)为核心的。 模式由若干项目组成,项目是描述客观实体的基本单位,项目由描述客观实体具体信息的一组属性(Attribute)构成。 属性只能有一种类型(Type),可以有一个或多个值(Value)。属性的类型具体说明属性值可以存储哪些信息,以及这些信息的行为特性。,命名模型,在LDAP目录中,项目是按照
9、树形结构组织的,根据项目在树形结构中的位置对项目进行命名,这样的命名通常称为标识(Distinguished name),简称DN。 DN由若干元素构成,每个元素称为相对标识(Relative distinguished name),简称RDN。RDN由项目的一个或多个属性构成。,功能模型,LDAP的功能模型涉及以下三个方面: 询问(Interrogation) LDAP在信息询问方面主要定义了查找(Search)和比较(Compare)两个操作。 更新(Update) LDAP在信息更新方面定义了新增(Add)、删除(Delete)、修改(Modify)和修改RDN(Modify RDN)等
10、四个操作。 身份验证(Authentication) LDAP在身份验证方面定义了连接(Bind)、断接(Unbind)和作废(Abandon)等三个操作。,安全模型,LDAP的安全模型是以客户端的身份信息为基础的。客户端的身份信息通过连接操作提供给服务器,服务器根据身份信息对客户端提出的访问请求进行控制。 在LDAP中存在一个被称为访问控制列表(Access Control List,以下简称ACL)的文件,控制各类访问请求具有的权限。ACL文件中的控制方式具有极大的弹性:即可以在大范围上控制某一类资源可以被某类甚至某个用户访问,还可以具体到资源类中的任何一个属性。,demo,实验4-1 L
11、DAP整合Outlook和Outlook Express等邮件客户端软件,几个工具,Csvde,使用以逗号分隔 (CSV) 格式存储数据的文件从 Active Directory 导入和导出数据。还可以支持基于 CSV 文件格式标准的批处理操作。,范例,将 ActiveDirectory 数据导出至名称为 search.txt 的文件,将搜索范围设置为子树,并为在搜索中找到的每个对象列出了 sAMAccountName、CN 和 distinguished name 属性: csvde -f search.txt -p subtree -l SamAccountName,CN,Distingu
12、ishname 从名称为 input.csv 的文件的当前域(您登录到的域)中导入数据。 csvde -i -f input.csv 从名称为 output.csv 的文件的当前域(您登录到的域)中导出数据。 csvde -f output.csv,Ldp,LDP 是 Microsoft Windows 2003 附带的一种轻量目录访问协议 (LDAP) 客户端实用工具。本文介绍有关如何使用 LDP 实用工具查询和浏览 LDAP 兼容目录的基本知识。,demo,实验4-2 用于管理活动目录的 11 个基本工具 实验4-3 利用CSVDE命令实现域用户账户的批量添加,小结,Kerberos概念 Kerberos V5 工作原理 什么是LDAP LDAP定义了四种基本模型,