Kerberos hitelesítési protokoll
Key Distribution Center KDC
Számla Adatbázis
Az adatbázis, amely szükséges KDC szolgáltatást információkat a biztonsági előfizetők vannak tárolva az Active Directory. Minden felhasználó képviselteti formájában számla. Titkosítási kulcsok kommunikáció a felhasználó, számítógép vagy szolgáltatás vannak tárolva attribútumok az objektum-fiók az adott biztonsági előfizető.
Kerberos Policy
A Kerberos politika magában:
hitelesítés küldöttség
Mint már említettük, a Kerberos politika a domén ruházhatja hitelesítési módszer továbbított jegyet, de az ilyen engedély nem feltétlenül minden felhasználóra vonatkoznak, vagy minden számítógépen. Használata attribútum profil az adott felhasználó, a rendszergazda korlátozhatja küldését az engedélyt az egyik szerverről a másikra. Ezen felül, akkor átvitelének megakadályozása bármely felhasználói azonosító beállítása a megfelelő attribútum véve bármilyen számítógépen. Ha szükséges, akkor is megtiltják a delegáció hitelesítést minden felhasználó számára, vagy az összes számítógépet szervezeti egységen belül a domainen belül.
Pre-hitelesítés
Alapértelmezett KDC szolgáltatás igénybevételéhez előzetes hitelesítését a fiókokat, amelyek rendkívül nehéz támadni brute. Ez a funkció azonban kompatibilitási problémákat okozhat más implementációk a Kerberos protokoll ezért lehetőséget biztosított, hogy tiltsa meg külön számlákon.
Kerberos Security Support Provider
Miután LSA alrendszer létrehoz egy biztonsági környezetét az interaktív felhasználó, lehet, hogy egy másik példánya Kerberos SSP. Letöltése termel egy futó folyamat felhasználó biztonsági környezetében, hogy támogassa az aláírás és a tanúsítvány jelentéseket.
Cache memória kártya
Cache kezelése rendelt licencek a Kerberos SSP, amely működik a biztonsági környezetében LSA alrendszer. Minden alkalommal, amikor szükség van, így a jegyet, vagy gombot, vagy azok frissítésére, az LSA utal, hogy a Kerberos SSP, aki elvégzi ezt a feladatot.
Az LSA alrendszer tárolt másolatok hash interaktív felhasználói jelszavakat. Ha edzés közben lejár a felhasználó jegyet TGT, Kerberos SSP használja a másolás, hogy egy új jegyet. Ez történik a háttérben anélkül, hogy megszakítaná a munkamenetet. Jelszó itt átmeneti megőrzés, a helyi másolatot megsemmisül megszűnése után a felhasználói munkamenet.
Más a helyzet a hash jelszavakat szolgáltatások és számítógépek. Ahogy a korábbi verziók Windows NT, tárolja azokat biztonságos helyen a számítógépes rendszer adatbázisában. Registry is tárol kivonatainak felhasználó jelszavát a helyi rendszer, de a helyi fiókok kiválóan alkalmasak hozzáférést a számítógépekhez önálló módban üzemel, de nem a hálózaton keresztül.
DNS-névfeloldás
IP szállítás
UDP utal, hogy a szállítási protokoll nem teremtenek logikai kapcsolatot, ezért alkalmazása indokolt olyan esetekben, amikor a kapcsolat a szervezet rendelkezik előzetes cseréjét jelző üzeneteket. Ez a protokoll alkalmas, és ahol a csere van korlátozva egyetlen kérés, és egyetlen válasz, ahogyan ez a helyzet egy kommunikációs között az ügyfél és a KDC szolgáltatást. Fontos, hogy mindegyik ilyen üzenet teljesen beilleszkedik az egyik datagram. De a legjobb eredmények elérése céljából az UDP protokol amikor datagramokba továbbítunk egy egységként, azaz mindegyikük teljesen integrálva van egy képkockát. A kapacitás a keret függ az átviteli közeg. A Ethernet keretet, például a maximális átviteli adatblokk méretét (MTU) 1500 oktett. Következésképpen a fizikai hálózat Ethernet Kerberos üzenetek elküldésre adatcsomagok lehet akár 1500 oktet adatot.