《ActiveDirectory管理和构架第4部分身份认证Kerberos及LDAP协议》由会员分享,可在线阅读,更多相关《ActiveDirectory管理和构架第4部分身份认证Kerberos及LDAP协议(32页珍藏版)》请在装配图网上搜索。
1、议题议题Kerberos协议协议LDAP协议协议第第4部分部分 身份认证身份认证kerberos及及ldap协议协议 身份认证身份认证KERBEROS内容内容Kerberos概念概念Kerberos V5 工作原理工作原理Ticket的安全传递的安全传递启用启用 Kerberos V5 身份验证身份验证引言引言Kerberos最初是最初是MIT(麻省理工学院)为麻省理工学院)为Athena项目项目开发的,是开发的,是TCP/IP网络设计的可信任的第三方认证网络设计的可信任的第三方认证协议协议Kerberos提供了一种在开放式网络环境下进行身份提供了一种在开放式网络环境下进行身份认证的方法,并允
2、许个人访问网络中不同的机器,认证的方法,并允许个人访问网络中不同的机器,它使网络上的用户可以相互证明自己的身份它使网络上的用户可以相互证明自己的身份Kerberos这一名词来源于希腊神话“三个头的狗地狱之门守护者”引言引言Kerberos采用对称密钥体制(采用采用对称密钥体制(采用DES,也可用其也可用其它算法代替)对信息进行加密它算法代替)对信息进行加密基本思想是:由于基本思想是:由于Kerberos是基于对称密码体制,是基于对称密码体制,它与网络上的每个实体分别共享一个不同密钥,能它与网络上的每个实体分别共享一个不同密钥,能正确对信息进行解密的用户就是合法用户。正确对信息进行解密的用户就是
3、合法用户。用户在对应用服务器进行访问之前,必须先从第三用户在对应用服务器进行访问之前,必须先从第三方(方(Kerberos服务器)获取该应用服务器的访问许服务器)获取该应用服务器的访问许可证(可证(ticket) Kerberos概述概述网络上的网络上的Kerberos服务器起着可信仲裁者的作用,服务器起着可信仲裁者的作用,可提供安全的网络鉴别,允许个人访问网络中不同可提供安全的网络鉴别,允许个人访问网络中不同的机器。的机器。基于对称密码学,与网络上的每个实体分别共享一基于对称密码学,与网络上的每个实体分别共享一个不同的秘密密钥,是否知道该秘密密钥便是身份个不同的秘密密钥,是否知道该秘密密钥便
4、是身份的证明。主要包括以下几个部分:的证明。主要包括以下几个部分:客户机(client)服务器(server)认证服务器(AS)票据授予服务器(ticket-granting server,TGS)Kerberos V5 工作原理概述工作原理概述Kerberos V5 工作原理工作原理Kerberos协议分为两个部分协议分为两个部分1 . Client向KDC发送自己的身份信息,KDC从Ticket Granting Service得到TGT(ticket-granting ticket), 并用协议开始前Client与KDC之间的密钥将TGT加密回复给Client。此时只有真正的Client
5、才能利用它与KDC之间的密钥将加密后的TGT解密,从而获得TGT2. Client利用之前获得的TGT向KDC请求其他Service的Ticket,从而通过其他Service的身份鉴别。Ticket的安全传递的安全传递概括起来说Kerberos协议主要做了两件事1、Ticket的安全传递。2、Session Key的安全发布。启用启用 Kerberos V5 身份验证身份验证对于在安装过程中所有加入到对于在安装过程中所有加入到 Windows Server 2003 或或 Windows 2000 域的计算机都默认启用域的计算机都默认启用 Kerberos V5 身份验证协议。身份验证协议。K
6、erberos 可对域内的资源和驻留在可对域内的资源和驻留在受信任的域中的资源提供单一登录。受信任的域中的资源提供单一登录。使用使用 Kerberos V5 进行成功的身份验证需要两个客进行成功的身份验证需要两个客户端系统都必须运行户端系统都必须运行 Windows 2000、Windows Server 2003 家族或家族或 Windows XP Professional 操作系操作系统。统。使用使用 Kerberos 进行身份验证的计算机必须使其时间进行身份验证的计算机必须使其时间设置在设置在 5 分钟内与常规时间服务同步,否则身份验分钟内与常规时间服务同步,否则身份验证将失败。证将失败
7、。计算机时钟同步的最大容差计算机时钟同步的最大容差本安全设置确定本安全设置确定 Kerberos V5 所允许的客户端时钟所允许的客户端时钟和提供和提供 Kerberos 身份验证的身份验证的 Windows Server 2003 域域控制器上的时间的最大差值(以分钟为单位)。控制器上的时间的最大差值(以分钟为单位)。为防止为防止“轮番攻击轮番攻击”,Kerberos V5 在其协议定义中在其协议定义中使用了时间戳。为使时间戳正常工作,客户端和域使用了时间戳。为使时间戳正常工作,客户端和域控制器的时钟应尽可能的保持同步。控制器的时钟应尽可能的保持同步。配置此安全设置:计算机配置配置此安全设置
8、:计算机配置Windows 设置设置安全安全设置设置帐户策略帐户策略Kerberos 策略策略demo实验实验4-0 Kerberos V5身份验证协议相关设置身份验证协议相关设置LADP(轻型目录访问(轻型目录访问协议协议)内容内容何谓目录服务何谓目录服务目录服务与数据库目录服务与数据库LDAP客户端客户端/服务器与服务器与X.500服务器之间的关系服务器之间的关系什么是什么是LDAPLDAP定义了四种基本模型定义了四种基本模型何谓目录服务何谓目录服务一种在分布式环境中发现目标的方法一种在分布式环境中发现目标的方法目录包括两个主要组成部分:目录包括两个主要组成部分:数据库规划用来描述数据分布
9、式存在协议 访问数据处理数据数据库数据库X.500 和目录访问协议和目录访问协议 (DAP)。目录服务与数据库目录服务与数据库二者有许多共同点二者有许多共同点均允许对存储数据进行访问目录服务目录服务 数据库数据库目录主要用于读取目录不适于进行频繁的更新本质上属于典型的分布式结构X.500X.500是由国际电信标准组织所制定的目录服务技术是由国际电信标准组织所制定的目录服务技术标准,由于架构制定过于庞大复杂且耗费系统资源,标准,由于架构制定过于庞大复杂且耗费系统资源,所以很难实作而不被业界采用所以很难实作而不被业界采用后来后来OSI为了改善上述问题,便针对为了改善上述问题,便针对X.500标准进
10、行标准进行精简,重新规划一种较简洁又有效率的通讯协议,精简,重新规划一种较简洁又有效率的通讯协议,即即LDAP(Lightweight Directory AccessProtocol,轻型,轻型目录访问协议目录访问协议)LDAP最早是被当作最早是被当作X.500的前端通讯协议,后来则的前端通讯协议,后来则逐渐演变成以逐渐演变成以LDAP服务器为主服务器为主LDAP客户端客户端/服务器与服务器与X.500 之间的关系之间的关系请求与回应什么是什么是LDAPLDAP (轻量级目录访问协议)是一种协议定义(轻量级目录访问协议)是一种协议定义LDAP服务器和服务器和LDAP客户端的之间通讯。客户端的
11、之间通讯。 LDAP服务服务器存储器存储“目录目录” ,提供,提供LDAP的客户访问的客户访问LDAP的是所谓的轻的是所谓的轻 ,因为它是一个体积较小,采,因为它是一个体积较小,采用用TCP/IP,相对于,相对于X.500 (目录访问协议)的定义在(目录访问协议)的定义在OSI的网络协议栈上。的网络协议栈上。LDAP服务器分层存储目录信息。服务器分层存储目录信息。LDAP定义了四种基本模型定义了四种基本模型模型模型说明说明信息模型说明了LDAP目录中可以存储哪些信息;命名模型说明了如何组织和引用LDAP目录中的信息;功能模型说明了LDAP目录中的信息处理,特别是如何访问和更新信息;安全模型说明
12、如何保护LDAP目录中的信息不受非授权访问和修改。信息模型信息模型LDAP的信息模型是以模式(的信息模型是以模式(Schema)为基础的,)为基础的,以项目(以项目(Entry)为核心的。)为核心的。模式由若干项目组成,项目是描述客观实体的基本模式由若干项目组成,项目是描述客观实体的基本单位,项目由描述客观实体具体信息的一组属性单位,项目由描述客观实体具体信息的一组属性(Attribute)构成。)构成。属性只能有一种类型(属性只能有一种类型(Type),可以有一个或多个),可以有一个或多个值(值(Value)。属性的类型具体说明属性值可以存储)。属性的类型具体说明属性值可以存储哪些信息,以及
13、这些信息的行为特性。哪些信息,以及这些信息的行为特性。命名模型命名模型在在LDAP目录中,项目是按照树形结构组织的,根目录中,项目是按照树形结构组织的,根据项目在树形结构中的位置对项目进行命名,这样据项目在树形结构中的位置对项目进行命名,这样的命名通常称为标识(的命名通常称为标识(Distinguished name),简称),简称DN。DN由若干元素构成,每个元素称为相对标识由若干元素构成,每个元素称为相对标识(Relative distinguished name),简称),简称RDN。RDN由由项目的一个或多个属性构成。项目的一个或多个属性构成。功能模型功能模型 LDAP的功能模型涉及以
14、下三个方面:的功能模型涉及以下三个方面:询问(Interrogation)LDAP在信息询问方面主要定义了查找(Search)和比较(Compare)两个操作。更新(Update)LDAP在信息更新方面定义了新增(Add)、删除(Delete)、修改(Modify)和修改RDN(Modify RDN)等四个操作。身份验证(Authentication)LDAP在身份验证方面定义了连接(Bind)、断接(Unbind)和作废(Abandon)等三个操作。安全模型安全模型LDAP的安全模型是以客户端的身份信息为基础的。的安全模型是以客户端的身份信息为基础的。客户端的身份信息通过连接操作提供给服务器
15、,服客户端的身份信息通过连接操作提供给服务器,服务器根据身份信息对客户端提出的访问请求进行控务器根据身份信息对客户端提出的访问请求进行控制。制。在在LDAP中存在一个被称为访问控制列表(中存在一个被称为访问控制列表(Access Control List,以下简称,以下简称ACL)的文件,控制各类访)的文件,控制各类访问请求具有的权限。问请求具有的权限。ACL文件中的控制方式具有极文件中的控制方式具有极大的弹性:即可以在大范围上控制某一类资源可以大的弹性:即可以在大范围上控制某一类资源可以被某类甚至某个用户访问,还可以具体到资源类中被某类甚至某个用户访问,还可以具体到资源类中的任何一个属性。的
16、任何一个属性。demo实验实验4-1 LDAP整合整合Outlook和和Outlook Express等邮件客户端等邮件客户端软件软件几个工具几个工具名称名称描述描述Ldifde将测试后的架构扩展推向生产环境的首选方法。此外,还可以扩展架构,将 Active Directory 用户和组信息导出到其他应用程序或服务中,以及将来自其他目录服务的数据导入 Active Directory。Csvde使用以逗号分隔的变量 (CSV) 格式存储数据的文件,在 Active Directory 中导入和导出数据。支持基于 CSV 文件格式标准的批处理操作。ADSI作为 Active Directory
17、的低级编辑器。可查看目录中的所有对象(包括架构信息)、修改对象,并设置对象的访问控制列表。LDP基于 GUI 的支持实用程序。对任何与 LDAP 兼容的目录(包括 Active Directory)执行轻型目录访问协议 (LDAP) 操作(连接、绑定、搜索、修改、添加、删除)。Csvde使用以逗号分隔使用以逗号分隔 (CSV) 格式存储数据的文件从格式存储数据的文件从 Active Directory 导入和导出数据。还可以支持基于导入和导出数据。还可以支持基于 CSV 文件格式标准的批处理操作。文件格式标准的批处理操作。范例范例将将 Active Directory 数据导出至名称为数据导出
18、至名称为 search.txt 的文件,将搜的文件,将搜索范围设置为子树,并为在搜索中找到的每个对象列出了索范围设置为子树,并为在搜索中找到的每个对象列出了 sAMAccountName、CN 和和 distinguished name 属性:属性:csvde -f search.txt -p subtree -l SamAccountName,CN,Distinguishname从名称为从名称为 input.csv 的文件的当前域(您登录到的域)中导入的文件的当前域(您登录到的域)中导入数据。数据。csvde -i -f input.csv从名称为从名称为 output.csv 的文件的当前
19、域(您登录到的域)中导出的文件的当前域(您登录到的域)中导出数据。数据。csvde -f output.csvLdpLDP 是是 Microsoft Windows 2003 附带的一种轻量目录附带的一种轻量目录访问协议访问协议 (LDAP) 客户端实用工具。本文介绍有关客户端实用工具。本文介绍有关如何使用如何使用 LDP 实用工具查询和浏览实用工具查询和浏览 LDAP 兼容目录兼容目录的基本知识。的基本知识。demo实验实验4-2 用于管理活动目录的用于管理活动目录的 11 个基本工具个基本工具实验实验4-3 利用利用CSVDE命令实现域用户账户的批量添命令实现域用户账户的批量添加加小结小结Kerberos概念概念Kerberos V5 工作原理工作原理什么是什么是LDAPLDAP定义了四种基本模型定义了四种基本模型
ActiveDirectory管理和构架第4部分身份认证Kerberos及LDAP协议
