Взаимодействие Windows 2000 KDC и UNIX

Одним из важных вопросов при развертывании инфраструктуры безопасности является совместимость Kerberos в Windows 2000 с существующими серверами аутентификации в UNIX. Системы Windows 2000 могут работать с UNIX KDC (Key Distribution Center), основанными на MIT Kerberos, двумя основными способами:

1. Использование UNIX KDC в качестве сервера аутентификации
   Компьютеры Windows 2000 могут быть настроены для работы с KDC, функционирующим в UNIX-среде. Это позволяет пользователям входить в систему, используя учетные записи, зарегистрированные в UNIX KDC, так же, как это делают рабочие станции UNIX. Любое приложение Windows 2000 или UNIX, которое требует только аутентификации на основе имени, может использовать UNIX KDC как сервер Kerberos.
   Например, сервер баз данных, использующий собственную систему контроля доступа, может аутентифицировать клиентов Windows 2000 с помощью билетов Kerberos, выданных UNIX KDC. Однако, поскольку такой сервер не использует средства управления доступом Windows 2000, он может функционировать без механизма имперсонализации. Сервер, принимая билет UNIX KDC, вызывает поставщика безопасности Kerberos и запрашивает контекст безопасности для имени клиента. Такие билеты могут использоваться для взаимной аутентификации и защиты сообщений, но без данных авторизации контекст безопасности не позволяет выполнять имперсонализацию.
2. Доверительные отношения между Windows 2000 и UNIX KDC
   Второй вариант — установление доверительных отношений между UNIX KDC и доменом Windows 2000. Это обеспечивает более тесную интеграцию и позволяет службам Windows 2000, использующим имперсонализацию и механизмы управления доступом, корректно работать в смешанной среде.
   Такая модель напоминает структуру нескольких доменов Windows NT 4.0, которые подразделяются на домены учетных записей и домены ресурсов. В этом случае UNIX KDC выполняет роль домена учетных записей, а службы Windows 2000 принадлежат к домену ресурсов.
   В процессе работы KDC Windows 2000 добавляет к билетам сеанса данные авторизации, которые сопоставляют учетные записи UNIX с прокси-аккаунтами в Windows. Эти учетные записи учитывают групповую принадлежность пользователей, а информация о группах хранится в Active Directory и может синхронизироваться через LDAP.

Ограничения UNIX KDC в среде Windows 2000

Хотя UNIX KDC может обеспечивать аутентификацию для служб Windows 2000, он не может полностью заменить контроллер домена. Это связано с особенностями модели распределенной безопасности Windows 2000, которая требует дополнительных механизмов управления идентификацией и доступом.

Например, редактор ACL в Windows 2000, используемый для управления доступом к файлам NTFS, нуждается в сервере домена, который выполняет трансляцию имен учетных записей в SID. Этот процесс происходит через защищенный канал NetLogon, который UNIX KDC не поддерживает. В отсутствие такой трансляции учетные записи пользователей UNIX будут отображаться как account unknown, поскольку система не сможет связать их с идентификаторами безопасности Windows.

Необходимые доработки для интеграции UNIX KDC

Для успешной работы UNIX KDC в роли сервера авторизации Windows 2000 требуется поддержка:

• Имен NetBIOS для совместимости с традиционной схемой именования в Windows.
• Аутентификации по UNC-именам (например, \\project1\projectshare), которая используется приложениями Windows.
• Защищенного RPC, который необходим для проверки подписи KDC и предотвращения несанкционированного использования групповых привилегий.

Без этих доработок интеграция UNIX KDC с Windows 2000 будет ограничена только базовыми функциями аутентификации.

Будущее интеграции Kerberos в многоплатформенных средах

Компания Microsoft активно работает над созданием унифицированной системы безопасности, способной работать в разнородных сетях. Основное внимание уделяется поддержке отраслевых стандартов, таких как SSL, TLS, ISAKMP/Oakley и Kerberos 5, что открывает новые возможности для построения защищенных распределенных компьютерных систем.

Windows 2000 демонстрирует значительные успехи в совместимости с системами безопасности других платформ, что позволяет организациям создавать гибкие и надежные инфраструктуры с централизованным управлением идентификацией пользователей.

Заключение

Взаимодействие между Windows 2000 KDC и UNIX KDC возможно двумя основными способами: использование UNIX KDC в качестве сервера аутентификации и настройка доверительных отношений между системами. Однако для полной интеграции UNIX KDC в инфраструктуру Windows 2000 требуются дополнительные механизмы поддержки NetBIOS, RPC и трансляции SID. Microsoft продолжает развивать многоплатформенную совместимость, делая Windows 2000 частью глобальной экосистемы безопасности.