Протокол Kerberos
Kerberos является «трехголовой» схемой аутентификации. Тремя участниками протокола Kerberos является:
1. Клиент;
2. Сервер;
3. Keydistributioncenter (KDC – центр распределения ключей) – сторонний посредник между клиентами и сервером, который ручается за подлинность клиента. В среде windows, начиная с windows 2000, в роли KDC выступает контроллер домена с запущенной AD.
В средеKerberosдля входа в систему пользователь должен предоставить свое имя пользователя, пароль и имя домена, в который он хочет войти.
Эта информация посылается KDC, который устанавливает подлинность пользователя. Если пользователь подлинный, ему предоставляется нечто, называемое ticket-grantingticket (TGT–билет на получение билета). TGTочень полезен, так как вам не приходится вновь аутентифицироваться каждый раз, когда вам необходимо получить доступ в систему, теперь вы просто предъявляете ваш «штамп в паспорте».
Если вам необходим доступ к конкретному серверу, вам так же необходим билет для этого сервера или вы не сможете создать сеанс для связи с ним.
Когда вы хотите получить доступ к серверу, вы сначала должны обратиться к KDC, предъявить свой билетTGT, как подтверждение своей подлинности, а затем уже запросить билет сеанса на сервера.
Если вы аутентифицированы, вы сможете получить доступ к серверу в соответствии с правами, которыми обладаете. Билет сеанса и TGT, которые вы получаете, имеют ограниченное время действия, которое может настраиваться в групповой политике.
Сетевые протоколы и службы.
Сетевое администрирование.
NetBEUI (NetBIOSExtendedUserInterface) – разрабатывался как эффективный протокол, потребляющий немного ресурсов, для использования в сетях, насчитывающих не более 200 рабочих станий.
IPX/SPX (InternetworkPacketExchange (IPX)/SequencedPacketEchanged (SPX) – является фирменным запатентованным стеком компании Novell, это протоколы сетевого и сеансового уровня.
DHCP (DynamicHostConfigurationProtocol) – службаподдержкипротоколаTPC/IP, разработанная для упрощения администрирования IP-сети за счетDHCP-сервера для централизованного управления IP-адресами и другими параметрами протокола TCP/IP
WINS (WindowsinternetNameService) – службааналогичнаяслужбеDNS– динамическая регистрация имеет компьютеров и других сетевых узлов и их IP-адресов.
Служба DHCP
- Автоматическое назначение сетевыми узлами IP-адресов и прочих параметров протокола TPC/IP(например, маски подсети, адрес основного шлюза подсети, адреса серверов DNSи WINS);
- недопущение дублирования IP-адресов, назначаемых различными узлами сети;
- освобождение IP-адресов узлов, удаленных из сети;
- ведение централизованной БД выданных IP-адресов.
Особенности службы DHCPв системах семейства windowsserver:
- интеграция с DNS
- авторизация сервера DHCPв AD
- резервное копирование БД DHCP
1. Компьютер посылает широковещательный запрос на аренду ip-адреса;
2. DHCP-серверы, получившие данный запрос, посылают данному сетевому узлу свои предложения ip-адреса;
3. клиент отвечает на предложение соответствующему серверу запросом на выбор арендуемогоip-адреса;
4. DHCP-сервер регистрирует в свой БД выданную ip-конфигурацию и посылает клиенту подтверждение на аренду ip-адреса.
Сеть 192.168.0.0/24
Сеть 192.168.1.0/24
Один сервер DHCPможет обслуживать клиентов, расположенных в различных ip-сетях. На маршрутизаторах, объединяющих разные ip-сети в единую сеть, установлен и настроен агент ретрансляции DHCP (DHCPrelayagent).
СлужбаWINS
СлужбаWINS (Windowsinternetnameservice) выполняетзадачи, аналогичныезадачамслужбыDNS:
- динамическая регистрация имеет компьютеров и других сетевых узлов и их IP-адресов в БД сервера WINS;
- разрешение имеет компьютеров в ip-адреса: главное отличие в том что WINSфункционирует в пространстве имен в NetBIOS.
До появления системы windows 2000 сетевой программный интерфейс NetBIOSбыл основным сетевым интерфейсом для обмена данными между компьютерами в сетях на базе технологий Microsoft.
Если в вашей сети нет операционных систем WINDOWS95/98/ME/NT, то служба WINSможет вообще не потребоваться.