none
Kerberos RRS feed

  • Вопрос

  • Здравствуйте!

    Как в Windows реализуется kerberos, т.е. как пользователь связывается с KDC, как он отправляет туда запрос, и сам пользователь это делает или windows автоматически сам делает?

Все ответы

  • Краткий ответ - Windows делает это автоматически.

    Более полный ответ.

    Начальное аутентификация и получение билета TGT производится самой Windows при аутентификации пользователя, полученный в результате билет TGT хранится в системном кэше (он отдельный для каждого сеанса входа в систему).

    При обращении к сетевым службам по стандартным, реализованным в самой Windows, протоколам (SMB, RPC и т.п.) через соответствующий API Windows это делает автоматически (необходимый код входит в состав функций, реализующих эти API).

    При использовании нестандартных протоколов для обращения к сетевым службам  (например, не-Windows службам, использующим GSSAPI) используется интерфейс программирования SSPI, через который программы обращаются к Windows, чтобы она получила для них необходимый билет службы.

    В обоих случаях общение с KDC производит система, используя хранящийся в её кэше TGT, полученные билеты служб тоже хранятся в системном кэше.

    PS Кэш своего сеанса входа в Win2K/XP/2K3 можно посмотреть и очистить утилитой klist (входит то ли в Support Tools, то ли в Resource Kit Tools). В Vista и выше можно (при  наличии админских прав) посмотреть (и очистить) кэш любого сеанса входа, передав идентификатор сеанса входа через параметры -lh и -li


    Слава России!

    • Предложено в качестве ответа Ilya Ershov 13 мая 2015 г. 12:25