Протокол Kerberos и авторизация Windows 2000
В Windows 2000 протокол Kerberos обеспечивает не только безопасную аутентификацию пользователей, но и передачу данных авторизации, необходимых для управления доступом к системным ресурсам. Он интегрирован с системой безопасности домена и поддерживает имперсонализацию пользователей на серверах.
Передача идентификаторов безопасности
Имперсонализация в Windows 2000 требует, чтобы локальный администратор безопасности (Local Security Authority, LSA) сервера мог безопасно получать идентификаторы безопасности (Security Identifiers, SID) пользователя и список идентификаторов групп, к которым он принадлежит. Эти идентификаторы используются для создания маркеров доступа, определяющих права пользователя в системе.
При аутентификации с использованием NTLM идентификаторы безопасности передаются через защищенный канал NetLogon напрямую с контроллера домена. В случае Kerberos они включаются в билет сеанса (TGT), который клиент получает от центра распространения ключей (KDC). Это позволяет серверу безопасно идентифицировать пользователя и применять соответствующие политики доступа.
Роль данных авторизации в Kerberos
Билет Kerberos, полученный от KDC, содержит данные авторизации, которые включают:
- Идентификаторы безопасности пользователя.
- Список групп, членом которых является пользователь.
- Дополнительные параметры политики безопасности.
Эти данные необходимы локальному администратору безопасности (LSA) для поддержки имперсонализации пользователя при доступе к различным ресурсам.
Использование данных авторизации
Данные авторизации, встроенные в билет Kerberos, соответствуют спецификации RFC 1510. Они позволяют приложениям определять права доступа пользователей и интегрируются с механизмами безопасности Windows 2000.
При входе пользователя в домен KDC помещает в TGT список его идентификаторов безопасности, включая:
- Идентификаторы учетной записи пользователя.
- Список групп безопасности домена, к которым он принадлежит.
Затем эти данные копируются в билет сеанса, который передается серверам приложений для аутентификации пользователей. В многодоменных средах KDC может добавлять в данные авторизации информацию о группах безопасности целевого домена, к которым относится пользователь.
Эволюция системы авторизации
Формат данных авторизации в Windows 2000 может изменяться по мере развития системы. Однако независимо от версии ОС они всегда будут содержать список идентификаторов безопасности, необходимых для поддержки аутентификации Kerberos в многоплатформенных средах.
Кроме того, в данные авторизации добавляется цифровая подпись KDC, которая гарантирует целостность информации и предотвращает её подделку.
Заключение
Интеграция Kerberos с системой авторизации Windows 2000 обеспечивает гибкое управление доступом к ресурсам и поддержку имперсонализации. Передача идентификаторов безопасности в билетах позволяет серверам точно идентифицировать пользователей и применять политики доступа, обеспечивая высокий уровень безопасности в корпоративных сетях.