Kerberos網路認證協議搭建與分析

一、實驗目的

1）掌握利用 Kerberos網路認證協議搭建方法；

2）掌握Windows Server 2003系統的域和DNS伺服器的搭建；

3）掌握Kerberos 認證原理；

二、實驗環境

域伺服器：Windows Server 2003 IP：10.1.1.200

客戶機：Windows XP IP：10.1.1.100

輔助工具：Windows Server 2003 Resource Kit Tools

三、實驗步驟

實驗步驟一：

實驗步驟二：

3、檢視和配置DNS伺服器

4、建立域使用者

實驗步驟三：

5、將Windows XP加入域環境

6、登入到域環境

7、檢視票據

四、分析與思考

1）寫出實驗完成過程。

2）更改Kerberos策略，如何能兼顧安全性和票據的有效期？

（1）服務票證最長壽命

（2）強制使用者登入限制

（3）使用者票證續訂最長壽命

（4）使用者票證最長壽命

3）分析Kerberos認證協議的侷限性。

Kerberos的缺點有，比如Kerberos身份認證採用的是對稱加密機制，加密和解密使用相同的金鑰，安全性有所降低；Kerberos中身份認證服務和票據授權服務時集中式管理的，容易形成瓶頸，系統的效能和安全性也過分依賴於這兩個服務的效能和安全。

4）Kerberos是Windows整合身份驗證中的一種協議，那麼請同學通過IIS建立網站，並且使用Windows整合身份驗證來設定訪問許可權。通過Kerbtray來檢視認證資訊。

5）動手能力強的同學可以嘗試使用Kerberos整合身份驗證連線到SQL Server，並且驗證。驗證可通過Kerberos訪問SQL Server（在SQL Server Management Studio中執行以下查詢：select auth_scheme from sys.dm_exec_connections where session_id=@@spid

五、答題