none
how do i configure kerberos authentication in AD 2008 RRS feed

  • שאלה

  • שלום לכולם,

    ברצוני להגדיר הזדהות ב-AD ע"י Kerberos  בלבד! אם אפשרי,

    מהם השלבים לבצע זאת ?

    תודה מראש לכל העונים,

    ירון

    יום רביעי 01 אוגוסט 2012 11:08

תשובות

  • שלום,

    לא מומלץ להגדיר או לשנות את הגדרות הזדהות של שרתי ה-Directory. דברים מסוג זה גורמים לבעיות.

    שים לב במידה ויהיו לך תחנות שהם מתחת ל-Windows 7 יהיו לך בעיות לוגין, כי לא תוכל לבצע לוגין מתחת לתחנות שאינן מזהות Kerberos.

    בכל מקרה על מנת להגדיר רק Kerberos יש לבטל NTLM v2, את ההגדרות מבצעים בצד ה-GPO, תוכל להיעזר במאמר הבא,http://technet.microsoft.com/en-us/library/dd566199ל(v=WS.10).aspx

    אלי.


    אירוע Unified Communication User Group יצא לדרך, המפגש יתקיים בתאריך ה-28.6 בשעה 17:30. אשמח לראותכם.

    • סומן כתשובה על-ידי yaron-ke יום ראשון 05 אוגוסט 2012 06:47
    יום רביעי 01 אוגוסט 2012 13:35
  • שלום ירון,

    תוכל לספק בבקשה רשימה מלאה של אפליקציות אשר קיימות בארגון + שיטת האימות שכל אפליקציה עובדת עמה?

    עקרונית Kerberos נחשב לפרוטוקול מאובטח יותר, אך הוא דורש תאימות ברמת האפליקציות, מערכות ההפעלה וכדומה בכדי לעבוד באופן תקין.

    תוכל לעיין לשם התחלה ב Help של הגדרות ה GPO הבאים:

    Network security: Do not store LAN Manager hash value on next password change

    Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers

    Network security: Restrict NTLM:  NTLM authentication in this domain

    Network security: LAN Manager authentication level

    Network security: Configure encryption types allowed for Kerberos

    עם זאת, חשוב להבין ששינוי הגדרות אימות בצורה לא נכונה יכול להשבית את כל הארגון.

    בהצלחה


    Best Regards, Yuval Sinay, Y.S.Net CTO http://www.ysnet.co.il , Blog: http://blogs.microsoft.co.il/blogs/yuval14

    • סומן כתשובה על-ידי yaron-ke יום ראשון 05 אוגוסט 2012 06:47
    יום חמישי 02 אוגוסט 2012 09:39
  • שלום,

    מצורף הלינק הנכון, http://technet.microsoft.com/en-us/library/dd566199(v=WS.10).aspx

    לגבי הבדלים בין שני NTLM ל-Kereberos, הזדהות ב-Kerberos היא ברירת המחדל מ-W2K וכוללת:

    אוטנטיקציה מהירה

    אוטנטיקציה הדדית.

    תמיכה בדלגציה על גבי אוטנטיקציה.

    תמיכה ב-Smart Card.

    אליץ

     


    אירוע Unified Communication User Group יצא לדרך, המפגש יתקיים בתאריך ה-28.6 בשעה 17:30. אשמח לראותכם.

    • סומן כתשובה על-ידי yaron-ke יום שני 06 אוגוסט 2012 08:10
    יום ראשון 05 אוגוסט 2012 14:11

כל התגובות

  • שלום,

    לא מומלץ להגדיר או לשנות את הגדרות הזדהות של שרתי ה-Directory. דברים מסוג זה גורמים לבעיות.

    שים לב במידה ויהיו לך תחנות שהם מתחת ל-Windows 7 יהיו לך בעיות לוגין, כי לא תוכל לבצע לוגין מתחת לתחנות שאינן מזהות Kerberos.

    בכל מקרה על מנת להגדיר רק Kerberos יש לבטל NTLM v2, את ההגדרות מבצעים בצד ה-GPO, תוכל להיעזר במאמר הבא,http://technet.microsoft.com/en-us/library/dd566199ל(v=WS.10).aspx

    אלי.


    אירוע Unified Communication User Group יצא לדרך, המפגש יתקיים בתאריך ה-28.6 בשעה 17:30. אשמח לראותכם.

    • סומן כתשובה על-ידי yaron-ke יום ראשון 05 אוגוסט 2012 06:47
    יום רביעי 01 אוגוסט 2012 13:35
  • הי אלי,

    ראשית תודה על תשובתך,

    הלינק שצירפת לא נפתח,אשמח אם תצרף לינק שעובד,

    בדומיין הקיים חברים שרתים 2k8 R2  בלבד 

    בנוסף אשמח לדעת מהם היתרונות\החסרונות בהזדהות עם Kerberos  לעומת NTLM 

    תודה,

    ירון

    יום חמישי 02 אוגוסט 2012 08:18
  • שלום ירון,

    תוכל לספק בבקשה רשימה מלאה של אפליקציות אשר קיימות בארגון + שיטת האימות שכל אפליקציה עובדת עמה?

    עקרונית Kerberos נחשב לפרוטוקול מאובטח יותר, אך הוא דורש תאימות ברמת האפליקציות, מערכות ההפעלה וכדומה בכדי לעבוד באופן תקין.

    תוכל לעיין לשם התחלה ב Help של הגדרות ה GPO הבאים:

    Network security: Do not store LAN Manager hash value on next password change

    Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers

    Network security: Restrict NTLM:  NTLM authentication in this domain

    Network security: LAN Manager authentication level

    Network security: Configure encryption types allowed for Kerberos

    עם זאת, חשוב להבין ששינוי הגדרות אימות בצורה לא נכונה יכול להשבית את כל הארגון.

    בהצלחה


    Best Regards, Yuval Sinay, Y.S.Net CTO http://www.ysnet.co.il , Blog: http://blogs.microsoft.co.il/blogs/yuval14

    • סומן כתשובה על-ידי yaron-ke יום ראשון 05 אוגוסט 2012 06:47
    יום חמישי 02 אוגוסט 2012 09:39
  • שלום,

    מצורף הלינק הנכון, http://technet.microsoft.com/en-us/library/dd566199(v=WS.10).aspx

    לגבי הבדלים בין שני NTLM ל-Kereberos, הזדהות ב-Kerberos היא ברירת המחדל מ-W2K וכוללת:

    אוטנטיקציה מהירה

    אוטנטיקציה הדדית.

    תמיכה בדלגציה על גבי אוטנטיקציה.

    תמיכה ב-Smart Card.

    אליץ

     


    אירוע Unified Communication User Group יצא לדרך, המפגש יתקיים בתאריך ה-28.6 בשעה 17:30. אשמח לראותכם.

    • סומן כתשובה על-ידי yaron-ke יום שני 06 אוגוסט 2012 08:10
    יום ראשון 05 אוגוסט 2012 14:11