1 / 14

Аутентификация в компьютерной сети

Аутентификация в компьютерной сети. Дисциплина «Построение Windows -сетей» Сергеев А. Н. Волгоградский государственный социально-педагогический университет 11 апреля 2013 г. Определения. Аутентификация – проверка подлинности Авторизация – предоставление прав на выполнение действий.

zariel
Download Presentation

Аутентификация в компьютерной сети

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Аутентификация в компьютерной сети Дисциплина «Построение Windows-сетей» Сергеев А. Н. Волгоградский государственный социально-педагогический университет 11 апреля 2013 г.

  2. Определения • Аутентификация – проверка подлинности • Авторизация – предоставление прав на выполнение действий

  3. Аутентификация в сетях Windows • 2 способа аутентификации: • NTLM(без домена и старые компьютеры в домене) • Kerberos(основной способ для домена)

  4. NTLM • Аутентификация по схеме «запрос-ответ» • Общая схема: Запрос User User X Пароль User, f(hash, X) Hash User token X Hash

  5. Kerberos • Более современный протокол аутентификации. • Надежен при использовании в незащищенных сетях

  6. Kerberos • В отличие от NTLM также позволяет: • Проводить взаимную аутентификацию • Производить делегирование аутентификации • Поддерживает аутентификацию при помощи смарт-карт

  7. Kerberos (идея № 1) • Если у пары абонентов есть общий секретный ключ, то они могут доверять друг другу, если убедятся, что партнер знает этот секрет

  8. Kerberos (идея № 1) Стас Ольга Ольга Ольга Ольга Ольга : Время ? Время = Моё время Стас ? Время = Время Время

  9. Kerberos • Вопрос – откуда абоненты возьмут общий ключ? • Идея № 2: организовать централизованное распределение ключей доверенным центром

  10. Kerberos • Kerberos – аутентификация на базе концепции доверенной третьей стороны (TTP) • Доверенной стороной выступает контроллер домена со службой центра распределения ключей (KDC)

  11. Kerberos (идея № 2) • Может быть так? KDC Клиенту нужен сервер Ключ Ключ Клиент Сервер

  12. Kerberos (идея № 2) • На практике реализовано так: KDC Клиенту нужен сервер Ключ Мандат Клиент Аутентификатор Сервер Мандат

  13. Kerberos (идея № 2) • Мандат – сведения о клиенте + ключ сеанса (зашифровано для сервера) • Мандаты можно использовать многократно (в течение периода действия – обычно 8 часов) • Серверу не надо хранить ключ для клиента

  14. Kerberos • Клиент и сервер взаимодействуют с KDC на основе долговременного ключа (основан на пароле пользователя) • Долговременный ключ используется только один раз – при первом обращении к KDC • В дальнейшем выдается мандат для доступа к KDC – мандат на выдачу мандатов (TGT)

More Related