Ένας υπολογιστής-πελάτης σε ένα δίκτυο , όπως έναν επιτραπέζιο υπολογιστή που εκτελεί Windows XP ή Windows 7 , μπορεί να χρειαστεί να έχουν πρόσβαση σε έναν πόρο , όπως ένα αρχείο , αποθηκεύεται σε ένα δίκτυο server αποθήκευσης δεδομένων . Ο πελάτης στέλνει ένα ψηφιακό αίτημα στο διακομιστή που επικυρώνεται στο δίκτυο κατά τη διάρκεια της σύνδεσης . Η αίτηση ζητά από το διακομιστή ελέγχου ταυτότητας για να ελέγξετε τα διαπιστευτήρια του πελάτη στο Active Directory και να δημιουργήσει ένα τα πιστοποιητικά ο πελάτης θα πρέπει να παρουσιάσει το αίτημα της πρόσβασης στους πόρους του δικτύου . Ο διακομιστής Active Directory δημιουργεί ένα κρυπτογραφημένο ψηφιακό πιστοποιητικό , που περιέχει ένα κλειδί συνόδου ( SK ) , και ένα εισιτήριο εκχώρησης δελτίου ( TGT ) , η οποία στέλνει πίσω στον υπολογιστή-πελάτη . Χορήγηση διακομιστή
εικόνων εισιτηρίων
Ο πελάτης αποκρυπτογραφεί το κλειδί συνόδου andt δημιουργεί ένα ψηφιακό authenticator να στείλετε ένα Χορήγηση εισιτηρίων Server. Η υπηρεσία ελέγχου ταυτότητας περιέχει το όνομα του πελάτη , και το πρωτόκολλο Internet ( IP) διεύθυνση του , καθώς και μια σφραγίδα χρόνου . Η Χορήγηση εισιτηρίων Server είναι ένας διακομιστής δικτύου που φιλοξενεί την υπηρεσία Kerberos ασφαλείας . Σε έναν υπολογιστή με Windows -based client /server δικτύου , αυτό είναι συνήθως ο server που φιλοξενεί την υπηρεσία Active Directory ταυτότητας .
Ο πελάτης στέλνει το authenticator που έχει δημιουργήσει , μαζί με την TGT που έλαβε από το διακομιστή Active Directory , για να η χορήγηση εισιτηρίων Server. Η Χορήγηση εισιτηρίων Server χρησιμοποιεί την υπηρεσία ελέγχου ταυτότητας και το TGT να δημιουργήσετε ένα νέο SK . Επίσης, δημιουργεί ένα ψηφιακό πιστοποιητικό είναι γνωστή ως Server εισιτηρίων Target , που περιέχει τα διαπιστευτήρια που ο πελάτης θα πρέπει να έχουν πρόσβαση στο αρχείο που είναι αποθηκευμένο στο διακομιστή προορισμού . Ο νέος στόχος διακομιστή εισιτηρίων περιέχει το όνομα του πελάτη και τη διεύθυνση IP και μια Target διακομιστή εισιτηρίων χρόνο λήξης , καθώς και κλειδί ασφαλείας του διακομιστή προορισμού και το όνομα του διακομιστή προορισμού . Η νέα SK και το διακομιστή εισιτηρίων Target κρυπτογραφούνται και στέλνονται πίσω στον πελάτη .
Η Target ταυτότητας διακομιστή
Η
Ο πελάτης στέλνει το νέο SK και το Target Ticket Server σε διακομιστή που φιλοξενεί το αρχείο που ο πελάτης θέλει να έχει πρόσβαση . Ο διακομιστής προορισμού αποδέχεται την αίτηση, επειδή η αίτηση περιέχει το κλειδί ασφαλείας του διακομιστή προορισμού . Ο διακομιστής -στόχος αποκρυπτογραφεί το διακομιστή εισιτηρίων Target και ελέγχει τα στοιχεία ταυτότητας πελάτη SK , τη διεύθυνση IP του πελάτη και τη σήμανση χρόνου . Επειδή οι περισσότερες αιτήσεις πρόσβασης στο δίκτυο απαιτούν αμφίδρομη επικοινωνία μεταξύ του πελάτη και του server που φιλοξενεί πόρων , ο διακομιστής προορισμού χρησιμοποιεί το SK για τη δημιουργία ενός μηνύματος , συμπεριλαμβανομένου του χρόνου σφραγίδα , αυξάνεται κατά ένα , και χρησιμοποιεί το κλειδί κρυπτογράφησης του SK για την κρυπτογράφηση του μηνύματος , η οποία στέλνει πίσω στον πελάτη να αποδείξει ότι είναι ο διακομιστής που ο πελάτης θέλει να επικοινωνήσει.
εικόνων Resource Access
Η
ο διακομιστής -στόχος είναι πλέον πεπεισμένη ότι η διακομιστής πελάτης έχει το δικαίωμα να δημιουργήσει μια περίοδο λειτουργίας επικοινωνίας , και ο πελάτης είναι ικανοποιημένος ότι ο διακομιστής προορισμού είναι το σωστό διακομιστή, όπως ο διακομιστής -στόχος το κρυπτογραφημένο ψηφιακό κλειδί ασφαλείας ότι ο πελάτης που παρουσιάζονται . Client και server και οι δύο μοιράζονται την SK να δημιουργήσει μια περίοδο λειτουργίας επικοινωνίας .
Αυτό δεν σημαίνει ότι ο πελάτης μπορεί να έχει πρόσβαση το αρχείο που είναι αποθηκευμένο στο διακομιστή προορισμού . Kerberos επιτρέπει την ασφαλή επικοινωνία μόνο μεταξύ υπολογιστών . Τα αρχεία που προστατεύονται από τη δική τους ατομική δικαιώματα πρόσβασης σε πόρους .
Η
εικόνων
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα