Протокол Kerberos и авторизация Windows 2000

В Windows 2000 протокол Kerberos обеспечивает не только безопасную аутентификацию пользователей, но и передачу данных авторизации, необходимых для управления доступом к системным ресурсам. Он интегрирован с системой безопасности домена и поддерживает имперсонализацию пользователей на серверах.

Передача идентификаторов безопасности

Имперсонализация в Windows 2000 требует, чтобы локальный администратор безопасности (Local Security Authority, LSA) сервера мог безопасно получать идентификаторы безопасности (Security Identifiers, SID) пользователя и список идентификаторов групп, к которым он принадлежит. Эти идентификаторы используются для создания маркеров доступа, определяющих права пользователя в системе.

При аутентификации с использованием NTLM идентификаторы безопасности передаются через защищенный канал NetLogon напрямую с контроллера домена. В случае Kerberos они включаются в билет сеанса (TGT), который клиент получает от центра распространения ключей (KDC). Это позволяет серверу безопасно идентифицировать пользователя и применять соответствующие политики доступа.

Роль данных авторизации в Kerberos

Билет Kerberos, полученный от KDC, содержит данные авторизации, которые включают:

• Идентификаторы безопасности пользователя.
• Список групп, членом которых является пользователь.
• Дополнительные параметры политики безопасности.

Эти данные необходимы локальному администратору безопасности (LSA) для поддержки имперсонализации пользователя при доступе к различным ресурсам.

Использование данных авторизации

Данные авторизации, встроенные в билет Kerberos, соответствуют спецификации RFC 1510. Они позволяют приложениям определять права доступа пользователей и интегрируются с механизмами безопасности Windows 2000.

При входе пользователя в домен KDC помещает в TGT список его идентификаторов безопасности, включая:

• Идентификаторы учетной записи пользователя.
• Список групп безопасности домена, к которым он принадлежит.

Затем эти данные копируются в билет сеанса, который передается серверам приложений для аутентификации пользователей. В многодоменных средах KDC может добавлять в данные авторизации информацию о группах безопасности целевого домена, к которым относится пользователь.

Эволюция системы авторизации

Формат данных авторизации в Windows 2000 может изменяться по мере развития системы. Однако независимо от версии ОС они всегда будут содержать список идентификаторов безопасности, необходимых для поддержки аутентификации Kerberos в многоплатформенных средах.

Кроме того, в данные авторизации добавляется цифровая подпись KDC, которая гарантирует целостность информации и предотвращает её подделку.

Заключение

Интеграция Kerberos с системой авторизации Windows 2000 обеспечивает гибкое управление доступом к ресурсам и поддержку имперсонализации. Передача идентификаторов безопасности в билетах позволяет серверам точно идентифицировать пользователей и применять политики доступа, обеспечивая высокий уровень безопасности в корпоративных сетях.