Professional Documents
Culture Documents
PRZYKADOWY ROZDZIA
SPIS TRECI
KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG
TWJ KOSZYK
DODAJ DO KOSZYKA
CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK
CZYTELNIA
FRAGMENTY KSIEK ONLINE
Bezpieczestwo
w Windows 2000.
Czarna ksiga
Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl
O Autorze ..............................................................................................11
Przedmowa ............................................................................................13
Bezpieczestwo w systemie Windows 2000............................................................. 14
Dla kogo jest przeznaczona niniejsza ksika?......................................................... 14
Nowoci w systemie zabezpiecze Windows 2000 .................................................. 15
Ukad ksiki ............................................................................................................. 15
W jaki sposb korzysta z niniejszej ksiki ............................................................ 17
Rozdzia 1. Bezpieczestwo w systemie Windows 2000 ...........................................19
W skrcie................................................................................................................... 20
Active Directory w systemie Windows 2000 .....................................................................20
Zabezpieczenia rozproszone i protokoy zabezpiecze ......................................................21
Korzystanie z kart inteligentnych .......................................................................................22
Szyfrowanie ........................................................................................................................23
Bezpieczestwo protokou IP .............................................................................................23
Wirtualne sieci prywatne ....................................................................................................24
Narzdzia do konfigurowania i analizowania zabezpiecze ..............................................24
Spis treci
Spis treci
Rozdzia 4.
W tym rozdziale:
Delegowanie uwierzytelniania.
W skrcie
Protokoy
Protokoy s zasadnicz czci kadego systemu zabezpiecze, a podstawowe wiadomoci o protokoach zastosowanych w systemie Windows 2000 s koniecznym elementem wyposaenia administratora. Jednak protokow nie konfiguruje si od razu,
jak np. Active Directory czy zasady grup. Przed przystpieniem do konfigurowania
protokou, konieczna jest znajomo zasad ich dziaania oraz skutkw, jakie pocigaj
za sob wprowadzane zmiany. Niniejszy rozdzia zawiera wicej teorii ni ktrykolwiek
z pozostaych w tej ksice i jednoczenie mniej gotowych rozwiza i opisw czynnoci.
Nie jest to bynajmniej ze pokana wiedza o protokoach zabezpiecze jest konieczna.
Zabezpieczenia warstwy transportowej oparte na protokole Secure Sockets Layer 3
(SSL 3/TLS) opisano w rozdziale 6., przy okazji omawiania certyfikatw z kluczem
publicznym. Zabezpieczenia protokou IP na poziomie sieci omwiono w rozdziale 10.
Pozostaje NT LAN Manager (NTLM) i protok Kerberos 5. Protokou NTLM uywa
si, aby zapewni zgodno wsteczn z poprzednimi wersjami sieciowych systemw
operacyjnych Microsoftu, takimi jak Windows NT 4 i LAN Manager. Tak wic wiksza
cz niniejszego rozdziau powicona jest protokoowi Kerberos.
Rozwizania pokrewne:
Ustawianie zabezpiecze sieci Web
Na stronie:
190
122
Protok Kerberos korzysta z idei biletw porednich (proxy tickets). Wemy pod uwag,
np. proces A, ktry wywouje aplikacj B. Nastpnie aplikacja B staje si personifikacj
procesu A, tzn. aplikacja B w ustalony sposb dziaa jak A. Jednak jeli B, dziaajc jako A,
wywoa inn aplikacj (C), to domylnie aplikacja C bdzie personifikacj B, a nie A, poniewa uprawnienia dotyczce zabezpiecze procesu A nie zostan delegowane do aplikacji C. Prawdziwe delegowanie takie, jakie zapewnia protok Kerberos oznacza,
e jeli aplikacja B, ktra jest dziaajcym wtkiem (thread) A, wywoa inn aplikacj C
to aplikacja C moe by personifikacj A. Aplikacja B posiada bilet poredni (proxy
ticket) aplikacji A, ktry umoliwia personifikacj A nawet, jeli wywouje inne aplikacje.
Komputery pracujce pod kontrol systemw Windows 3.11, Windows 9x lub Windows NT 4 bd korzystay z protokou NTLM przy uwierzytelnianiu sieciowym w domenach Windows 2000. Komputery pracujce pod kontrol systemu Windows 2000
bd korzystay z protokou NTLM w przypadku uwierzytelniania przez serwery systemu Windows NT 4 i przy dostpie do zasobw znajdujcych si w domenach systemu
Windows NT 4. Ale w systemie Windows 2000 gwnym protokoem jest Kerberos.
Korzyci z zastosowania protokou Kerberos do uwierzytelniania s nastpujce:
Rozdzia 4.
Protokoy zabezpiecze
123
Rozwizania natychmiastowe
Konfigurowanie protokow ze wsplnym kluczem tajnym
W protokole Kerberos zastosowano uwierzytelnianie wymagajce wsplnych kluczy
tajnych. Jeli tylko dwoje ludzi zna klucz tajny, wwczas kady z nich moe zweryfikowa tosamo drugiej strony przez uzyskanie potwierdzenia, e osoba ta zna ten sam
klucz tajny. Zamy, e np. Bonnie czsto wysya wiadomoci do Clydea, ktry musi
mie pewno, e wiadomo od Bonnie jest autentyczna, zanim zacznie dziaa zgodnie
z otrzymanymi informacjami. Bonnie i Clyde jako rozwizanie tego problemu wybrali
haso, ktre nie bdzie udostpniane nikomu innemu. Jeli z wiadomoci od Bonnie bdzie wynikao, e nadawca zna to haso, Clyde bdzie wiedzia, e nadawc jest Bonnie.
124
Jeli dane s pobierane z zaufanego rda, odbiorca musi upewni si, czy rdo jest
tym, czym rzekomo jest oraz czy informacje nie zostay po drodze sfaszowane. Nie jest to
mao znaczcy problem, ale parametry s ustalone i mona znale waciwe rozwizanie.
Naley wrci uwag, e w kontekcie bezpieczestwa nie ma rozwiza doskonaych.
W przypadku komunikacji dwukierunkowej, kiedy wymagane jest uwierzytelnianie wzajemne, pojawiaj si nowe problemy, zwaszcza gdy dochodzi do wspdzielenia kluczy
tajnych i konieczne jest zastosowanie nowych narzdzi do rozwizania tych problemw.
Odbiorca, aby zapewni uwierzytelnianie wzajemne, moe wzi cz danych z pierwotnej wartoci uwierzytelniajcej, zaszyfrowa je, tworzc now warto uwierzytelniajc,
ktr wysya do nadawcy, ktry z kolei moe odszyfrowa warto uwierzytelniajc
odbiorcy i porwna z oryginaem. Jeli zgadzaj si, nadawca bdzie wiedzia, e odbiorca by w stanie odszyfrowa orygina, a wic ma waciwy klucz.
Zamy, np. e Bonnie i Clyde zadecydowali, i do weryfikowania tosamoci drugiej
strony, przed przesaniem jakichkolwiek informacji, bd korzysta ze wsplnego klucza
tajnego. Uzgodnili w ten sposb nastpujcy protok:
1. Bonnie wysya do Clydea komunikat zawierajcy jej imi zapisane otwartym
Rozdzia 4.
Protokoy zabezpiecze
125
126
Protok Kerberos rozwizuje ten problem, okrelajc trzy jednostki: klienta, serwer
i zaufanym urzdem niezalenym, ktra jest porednikiem pomidzy nimi. Ten zaufany
porednik nosi nazw Centrum dystrybucji kluczy (Key Distribution Center KDC).
Obecnie zwi0ksza si0 zapotrzebowanie na niezale#ne firmy dostarczajce klucze tajne
i zarzdzajce nimi, ktre dziaaj jako zaufani po rednicy. Je li jeste przedsi0biorczy
i bierzesz pod uwag0 mo#liwo dziaalno ci komercyjnej, warto to przemy le.
Usuga Centrum dystrybucji kluczy jest uruchomiona na serwerze, ktry jest fizycznie zabezpieczony i obsuguje baz danych o kontach wszystkich obiektw typu security principal w swoim obszarze, ktry jest w protokole Kerberos odpowiednikiem domeny systemu Windows 2000. Razem z informacjami o kadym z obiektw typu security principal,
Centrum dystrybucji kluczy przechowuje rwnie klucz szyfru (cryptographic key),
znany tylko obiektowi typu security principal i Centrum dystrybucji kluczy. Klucz ten
jest uywany przy wymianie informacji pomidzy obiektem zabezpiecze gwnych
(security principal) i centrum oraz jest okrelany jako klucz dugoterminowy (long term
key). Zazwyczaj uzyskuje si go na podstawie hasa logowania obiektu typu security
principal.
Zamknij serwer Centrum dystrybucji kluczy w zabezpieczonym pokoju i nie doczaj
klawiatury ani monitora. Administruj tym serwerem ze stacji roboczej-klienta
z zainstalowanym odpowiednim oprogramowaniem. Dokonuj inspekcji ka#dego
dost0pu lub prby dost0pu do serwera. Je li twoje Centrum dystrybucji kluczy
nie jest bezpieczne, to nic innego nie jest bezpieczne.
Klient, ktry chce skomunikowa si z serwerem, wysya danie do Centrum dystrybucji kluczy, ktre przydziela obu stronom unikatowy, krtkoterminowy (short term)
klucz sesji, sucy wzajemnemu uwierzytelnianiu. Kopia klucza sesji serwera jest zaszyfrowana w kluczu dugoterminowym serwera. Kopia klucza sesji klienta jest zaszyfrowana w kluczu dugoterminowym klienta.
Rozdzia 4.
Protokoy zabezpiecze
127
Centrum dystrybucji kluczy nie ledzi swoich komunikatw, aby w ten sposb upewni
si, czy dotary pod waciwy adres po prostu wydaje bilet. Jeli komunikat wysany
przez centrum KDC dostanie si w niepowoane rce, bezpieczestwo nie jest zagroone.
Tylko kto, kto zna klucz tajny klienta moe odszyfrowa kopi klienta klucza sesji i tylko
kto, kto zna klucz tajny serwera, moe odczyta zawarto biletu.
Klient wyodrbnia bilet i kopi klienta klucza sesji i umieszcza je w zabezpieczonej
pamici podrcznej, znajdujcej si w pamici operacyjnej, a nie na dysku. Kiedy klient
chce poczy si serwerem, wysya komunikat zawierajcy bilet z wartoci uwierzytelniajc zaszyfrowane za pomoc klucza sesji. Bilet, nadal zaszyfrowany za pomoc
klucza tajnego serwera i warto uwierzytelniajca razem tworz dane uwierzytelniajce
klienta dla serwera.
Serwer odszyfrowuje bilet sesji za pomoc klucza tajnego, uzyskujc w ten sposb klucz
sesji i stosuje go do odszyfrowania wartoci uwierzytelniajcej klienta. Jeli wszystko si
zgadza, serwer wie, e dane uwierzytelniajce klienta zostay wydane przez centrum
KDC, ktre jest jednostk godn zaufania. Jeli konieczne jest uwierzytelnianie wzajemne, serwer uywa swojej kopii klucza sesji do zaszyfrowania znacznika czasu (timestamp) zawartego w wartoci uwierzytelniajcej klienta, a wynik przesya z powrotem
do klienta jako warto uwierzytelniajc serwera. Czyni to w sposb zaprezentowany
na rysunku 4.3.
128
Rysunek 4.3.
Uwierzytelnianie
wzajemne
(klient-serwer)
Naley zwrci uwag, e serwer nie musi przechowywa klucza sesji, ktrego uywa do
komunikacji z klientem. Klient jest odpowiedzialny za przechowywanie biletu dla serwera
w pamici podrcznej danych uwierzytelniajcych i przedstawianie biletu za kadym razem, gdy chce uzyska dostp do serwera. Kiedy serwer nie potrzebuje ju duej klucza
sesji, moe go odrzuci.
Rwnie klient nie musi zwraca si do Centrum dystrybucji kluczy za kadym razem,
gdy chce uzyska dostp do konkretnego serwera, poniewa bilety sesji mog by wykorzystane ponownie, o ile nie utraciy wanoci. Okres wanoci biletu zaley od zasad protokou Kerberos (Kerberos policy) obowizujcych w danej domenie. Zwykle
bilety s wane 8 godzin. Kiedy uytkownik wylogowuje si z komputera-klienta, pami podrczna danych uwierzytelniajcych jest oprniana, a wszystkie bilety sesji i klucze sesji s niszczone.
Rozdzia 4.
Protokoy zabezpiecze
129
Klient, przed podjciem prby poczenia z usug, szuka w buforze danych uwierzytelniajcych biletu sesji do danej usugi. Jeli takiego biletu nie ma, klient szuka w buforze
danych uwierzytelniajcych bilet przyznajcy bilet. Jeli ten klucz zostanie znaleziony,
klient pobiera z bufora waciwy klucz sesji logowania, uywa go do przygotowania
wartoci uwierzytelniajcej i wysya warto uwierzytelniajc oraz bilet przyznajcy
bilet do Centrum dystrybucji kluczy razem z daniem biletu sesji dla tej usugi. Tak
wic uzyskanie dostpu do centrum nie rni si niczym od uzyskiwania dostpu do pozostaych usug w domenie wymagany jest klucz sesji, warto uwierzytelniajca
i bilet, w tym przypadku jest to bilet przyznajcy bilet.
Aby zrozumie, w jaki sposb te trzy podprotokoy pracuj razem, zobaczmy w jaki sposb
Bonnie uytkownik stacji roboczej uzyskuje dostp do Clydea usugi sieciowej.
130
Rozdzia 4.
Protokoy zabezpiecze
131
4. Centrum (KDC) szyfruje jedn kopi tego klucza sesji za pomoc klucza sesji
132
7. Jeli czas jest ten sam, klient wie, e jest to usuga prawidowa i poczenie jest
Uwierzytelnianie logowania
Podczas logowania do sieci, w ktrej do uwierzytelniania stosuje si protok Kerberos,
najpierw otrzymuje si bilet przyznajcy bilet, ktry przedstawia si, dajc biletw sesji
dla innych usug w domenie. Podczas logowania do domeny Windows 2000 zawsze konieczny jest przynajmniej jeden bilet sesji bilet do komputera, do ktrego uytkownik
si loguje. Komputery pracujce pod kontrol systemu Windows 2000 maj wasne konta
w domenie, ktre naley traktowa jako konta usug. Uytkownicy interaktywni mog
mie dostp do zasobw w domenie Windows 2000 przez wysyanie dania do usugi
Workstation danego komputera, ale uytkownicy zdalni wysyaj dania do usugi Server tego komputera. Przed uzyskaniem dostpu do ktrejkolwiek z wyej wymienionych usug lub jakiejkolwiek innej usugi, pracujcej jako system lokalny, naley przedstawi bilet sesji dla danego komputera.
Przypumy, e Bonnie ma konto sieciowe w domenie o nazwie Zachd i loguje si do
komputera o nazwie Clyde, ktry rwnie ma konto w domenie Zachd. Bonnie rozpoczyna
od sekwencji Secure Attention Sequence (SAS) Ctrl+Alt+Delete. Usuga WinLogon na
komputerze o nazwie Clyde, przecza si na pulpit logowania i uzyskuje dostp do biblioteki doczanej dynamicznie (DLL) Graphical Identification and Authentication (GINA),
msgina.dll, ktra odpowiada za zbieranie od uytkownikw danych logowania, pakowanie
ich do struktury danych i wysyanie caoci do Lokalnego rda zabezpiecze (Local Security Authority LSA) w celu weryfikacji.
Bonnie wpisuje swoj nazw uytkownika oraz haso i z listy rozwijalnej wybiera domen Zachd. Po naciniciu OK. biblioteka DLL MSGINA zwraca informacje logowania
Bonnie do usugi WinLogon, ktra korzystajc z wywoania API LsaLogonUser
wysya dane do Lokalnego rda zabezpiecze (LSA) w celu sprawdzenia.
Lokalne rdo zabezpiecze (LSA), po otrzymaniu struktury danych z danymi logowania
Bonnie, natychmiast zamienia niezabezpieczone, podane zwykym tekstem, haso na
klucz tajny za pomoc jednokierunkowej funkcji mieszajcej. Wynik zostanie zapisany
w buforze danych uwierzytelniajcych, skd moe by pobrany w razie potrzeby do odnowienia biletu przyznajcego bilet lub uwierzytelniania za pomoc protokou NTLM
w przypadku serwerw, dla ktrych nie mona dokona autoryzacji za pomoc protokou Kerberos.
Rozdzia 4.
Protokoy zabezpiecze
133
Aby sprawdzi informacje logowania Bonnie i ustanowi dla niej sesj logowania na danym komputerze, Lokalne rdo zabezpiecze musi otrzyma bilet przyznajcy bilet,
ktry jest odpowiedni do uzyskania dostpu do usugi przyznajcej bilet oraz bilet sesji
odpowiedni do uzyskania dostpu do komputera. Lokalne rdo zabezpiecze otrzymuje te bilety, korzystajc z usugi Dostawca obsugi zabezpiecze (Security Support
Provider SSP), ktra wymienia komunikaty bezporednio z Centrum dystrybucji kluczy
w domenie Zachd.
Kolejno komunikatw jest nastpujca:
1. Lokalne rdo zabezpiecze (LSA) wysya komunikat KRB_AS_REQ do
134
Gdy Lokalne rdo zabezpiecze (LSA) otrzymuje bilet sesji Bonnie, odszyfrowuje go
za pomoc klucza tajnego komputera i odczytuje dane autoryzacji Bonnie. Nastpnie
wysya zapytania do lokalnej bazy danych SAM (Security Accounts Manager) aby poszuka, czy Bonnie jest czonkiem lokalnej grupy zabezpiecze na tym komputerze
i czy nadano temu uytkownikowi uprawnienia specjalne na danym komputerze lokalnym.
Kady z identyfikatorw zabezpiecze, zwrcony przez kwerend, jest dodawany do listy
uzyskanej z danych autoryzacji biletu. Caa lista jest nastpnie uywana do budowania
znacznika dostpu, a uchwyt do znacznika dostpu jest zwracane do usugi WinLogon razem z identyfikatorem sesji logowania Bonnie i potwierdzeniem, e informacje logowania
s prawidowe.
WinLogon dla uytkownika o nazwie Bonnie tworzy stacj (window station) i kilka
obiektw pulpitu (desktop objects), docza znacznik dostpu Bonnie i uruchamia powok (shell process), z ktrej Bonnie korzysta przy pracy interaktywnej z komputerem.
Kada aplikacja, ktr Bonnie uruchomi w trakcie swojej sesji logowania, dziedziczy
jej znacznik dostpu.
Naley zwrci uwag, e w trakcie procesu opisanego poprzednio ten sam klucz jest
uywany zarwno do szyfrowania, jak i odszyfrowania. Z tego powodu wsplne klucze
tajne stosowane do logowania za pomoc hasa s symetryczne.
Rozdzia 4.
Protokoy zabezpiecze
135
136
Kiedy uytkownik, ktrego konto znajduje si w domenie Wschd chce uzyska dostp
do serwera, ktrego konto znajduje si w domenie Zachd, proces uwierzytelniania
przebiega w nastpujcy sposb:
1. Klient Kerberos na stacji roboczej uytkownika wysya danie biletu sesji
biletu sesji i tym razem wysya danie do usugi wydawania biletw w domenie
Zachd.
4. Usuga wydawania biletw w domenie Zachd uywa swojej kopii klucza
W firmie, w ktrej pracuje Bonnie, jest domena nadrzdna helion.com oraz dwie domeny
podrzdne, wschd.helion.com i zachd.helion.com.
Bonnie loguje si na swoje konto w domenie zachd.helion.com i otrzymuje bilet przyznajcy bilet do Centrum dystrybucji kluczy w tej domenie. Bonnie potrzebny jest dostp
do dokumentw zapisanych w udziale publicznym na serwerze w domenie wschd.
helion.com o nazwie Clyde. Poniewa domena, w ktrej Bonnie ma swoje konto jest inna
ni domena serwera plikw, Dostawca obsugi zabezpiecze (SSP) na stacji roboczej
Bonnie musi dosta bilet przyznajcy bilet dla domeny wschd.helion.com i uy go, by
uzyska bilet dla serwera. Proces referencyjny przebiega w nastpujcy sposb:
Rozdzia 4.
Protokoy zabezpiecze
137
138
Zawarto+ biletu
W tej czci rozdziau wymieniono pola biletu i opisano krtko, jakie informacje zwieraj. Dokadne struktury danych biletw, jak rwnie komunikatw mona znale
w dokumencie RFC 1510 (The Kerberos Network Authentication Service (V5)) z wrzenia 1993, ktrego autorami s: J. Kohl i C. Neumann. W tabeli 4.1. zamieszczono
pierwsze trzy pola biletu. Nie s one zaszyfrowane; informacje zapisane s w postaci
zwykego tekstu, wic klient moe je wykorzysta do zarzdzania biletami znajdujcymi si w buforze.
Rozdzia 4.
Protokoy zabezpiecze
139
Opis
Tkt-vno
Numer wersji formatu biletu. W przypadku protokou Kerberos 5 w polu tym zapisana
jest 5
Realm
Nazwa obszaru (realm) domeny, w ktrej wydano dany bilet. Centrum dystrybucji
kluczy moe wydawa bilety tylko dla serwerw we wasnym obszarze, wic jest to
take nazwa obszaru serwera
Sname
Nazwa serwera
Opis
Flags
Opcje biletu
Key
Klucz sesji
Crealm
Cname
Nazwa klienta
Transited
Authtime
Starttime
Endtime
Renew-till
Caddr
Authorizationdata
Atrybuty uprawnie dla klienta. Protok Kerberos nie interpretuje zawartoci tego
pola. Interpretacja jest dokonywana przez usug (opcjonalnie)
Pole Flags jest polem bitowym, w ktrym opcje konfiguruje si, ustawiajc lub zerujc
poszczeglne bity. Chocia pole to ma dugo 32 bitw, tylko kilka znacznikw biletu
jest interesujcych. Przedstawiono je w tabeli 4.3.
Klienci powinny zna niektre informacje znajdujce si w biletach i biletach przyznajcych bilet, aby zarzdza swoim buforem danych uwierzytelniajcych. Centrum dystrybucji kluczy, zwracajc bilet i klucz sesji jako wynik wymiany komunikatw usugi
uwierzytelniania lub usugi przyznawania biletw, umieszcza kopi klucza sesji klienta
w strukturze danych, ktra zawiera informacje w polach biletu Flags, Authtime, Starttime,
Endtime i Renew-till. Caa struktura jest zaszyfrowana w kluczu klienta i zwracana za
pomoc komunikatw KRB_AS_REP i KRB_TGS_REP.
140
Opis
FORWARDABLE
FORWARDED
Wskazuje, e bilet przyznajcy bilet zosta przekazany dalej lub, e dany bilet
zosta wydany z przekazanego dalej biletu przyznajcego bilet
PROXIABLE
PROXY
RENEWABLE
INITIAL
Rozdzia 4.
Protokoy zabezpiecze
141
Delegowanie uwierzytelniania
W wielowarstwowych aplikacjach klient-serwer, klient czy si z serwerem, ktry z kolei
musi poczy si z drugim, wewntrznym serwerem. Aby do tego doszo, pierwszy
serwer musi mie bilet do drugiego. Byoby doskonale, gdyby bilet ogranicza prawo
dostpu pierwszego serwera do drugiego w sytuacjach, w ktrych klient, a nie pierwszy
serwer, jest upowaniony.
W protokole Kerberos rozwizano ten problem za pomoc mechanizmu zwanego Delegowaniem uwierzytelniania (Delegation of Authentication), ktry polega na delegowaniu
przez klienta uwierzytelnienia do serwera poprzez poinformowanie Centrum dystrybucji
kluczy, e serwer jest uprawniony do reprezentowania tego klienta. Jest to idea podobna
do personifikacji wystpujcej w systemie Windows 2000.
Delegowania mona dokona na dwa sposoby:
bilety porednie (proxy tickets) klient otrzymuje bilet dla serwera wewntrznego,
a nastpnie przekazuje go do serwera zewntrznego. Trudno stosowania tego
sposobu polega na tym, e klient musi zna nazw serwera wewntrznego,
Zasady protokou Kerberos domeny mog korzysta tylko z jednej z tych metod.
142
Bilety po+rednie
Kiedy Centrum dystrybucji kluczy wydaje klientowi bilet przyznajcy bilet, sprawdza,
czy zasady protokou Kerberos dopuszczaj uywanie biletw. Jeli tak jest, Centrum
dystrybucji kluczy ustawia znacznik PROXIABLE w wydanym danemu klientowi bilecie gwarantujcym bilet.
Klient uzyskuje bilet poredni, przedstawiajc bilet przyznajcy bilet usudze przyznawania biletw i dajc biletu do serwera wewntrznego. danie wysane przez klienta
zawiera znacznik, ktry sygnalizuje, e konieczny jest bilet poredni, a take nazw
serwera, ktry bdzie reprezentowa tego klienta. Kiedy centrum (KDC) otrzymuje danie klienta, tworzy bilet dla serwera wewntrznego, ustawia w tym bilecie znacznik
PROXY i wysya z powrotem do klienta. Nastpnie klient wysya bilet do serwera zewntrznego, ktry korzysta z tego biletu, aby uzyska dostp do serwera wewntrznego.
Bilety przekazywane
Jeli klient chce delegowa do serwera zewntrznego zadanie uzyskiwania biletw dla
serwera wewntrznego, to da od Centrum dystrybucji kluczy przekazywalnego biletu
przyznajcego bilet. Klient robi to za pomoc komunikatu dania podprotokou Authentication Service Exchange, wskazujc Centrum dystrybucji kluczy nazw serwera,
ktry bdzie dziaa w jego imieniu. Jeli zasady protokou Kerberos zezwalaj na przekazywanie, to Centrum dystrybucji kluczy tworzy bilet przyznajcy bilet dla serwera
zewntrznego, ktry jest uywany w imieniu klienta, ustawia znacznik FORWARDABLE i wysya bilet przyznajcy bilet z powrotem do klienta. Nastpnie klient przekazuje
ten bilet do serwera zewntrznego.
Serwer zewntrzny, dajc biletu do serwera wewntrznego przedstawia Centrum dystrybucji kluczy bilet przyznajcy bilet klienta. Centrum, wydajc bilet, sprawdza znacznik FORWARDABLE w tym bilecie przyznajcym bilet, ustawia w wydawanym bilecie
znacznik FORWARDED i zwraca bilet do serwera zewntrznego.
Rozdzia 4.
Protokoy zabezpiecze
143
Rysunek 4.8.
Ustawienia zasad
protokou Kerberos
domeny
Maksymalny okres istnienia biletu usugi (Maximum lifetime for service ticket)
okrelenie bilet usugi oznacza bilet sesji. Okres wanoci podany jest
w minutach i musi by duszy ni 10 minut i mniejszy lub rwny wartoci
Maksymalny czas istnienia biletu uytkownika. Domyln wartoci jest 600
minut (10 godzin),
Maksymalny czas istnienia biletu uytkownika (Maximum lifetime for user ticket)
okrelenie bilet uytkownika oznacza bilet przyznajcy bilet. Warto podana
jest w godzinach (domyln wartoci jest 10 godzin),
144
Interfejs Dostawcy obsugi zabezpiecze stanowi warstw abstrakcji pomidzy protokoami poziomu aplikacji a protokoami zabezpiecze. Usugi tego interfejsu SSPI mog
by uywane w rny sposob:
Rozdzia 4.
Protokoy zabezpiecze
145
146
Rozdzia 4.
Protokoy zabezpiecze
147
Interfejs SSPI pozwala aplikacji na uywanie dowolnego, dostpnego w systemie pakietu zabezpiecze, bez zmiany interfejsu do korzystania z usug zabezpiecze. Ponadto
nie ustanawia danych uwierzytelniajcych logowania, poniewa zazwyczaj jest to operacja uprzywilejowana, przeprowadzana przez system operacyjny.
Aplikacja moe uy funkcji zarzdzania pakietami do prezentowania listy dostpnych
pakietw zabezpiecze i wybrania tego, ktry jest potrzebny. Nastpnie aplikacja korzysta
z funkcji do zarzdzania danymi uwierzytelniajcymi, aby uzyska uchwyt do danych
uwierzytelniajcych uytkownika, w ktrego imieniu dziaa. Majc to dojcie, aplikacja
moe skorzysta z funkcji do zarzdzania kontekstem, aby utworzy kontekst zabezpiecze
usugi. Kontekst zabezpiecze jest to struktura danych nieprzejrzystych zawierajca dane
o zabezpieczeniach odpowiednich dla poczenia, takiego jak klucz sesji, czas trwania sesji,
itd. Ostatecznie aplikacja korzysta z kontekstu zabezpiecze z funkcjami obsugi komunikatw dla zapewnienia integralnoci i poufnoci komunikacji podczas trwania poczenia.
W wikszoci przypadkw aplikacje wybieraj pakiety zabezpiecze na podstawie rodzaju dostpnych moliwoci zabezpiecze, ktre zaspokajaj potrzeby danej aplikacji.
Powysze informacje na temat interfejsu SSPI daj jego peny obraz, bez wnikania
w szczegy programowania. Wicej wiadomoci na ten temat mona znale w dokumentacji systemu Windows 2000: Books OnLine oraz Technet. Jeli kto chce sprbowa
samodzielnego programowania, najpierw niech zapozna si z przykadami zamieszczonymi w Windows 2000 Software Development Kit (SDK).