Kerberos網路認證協議搭建與分析
Kerberos網路認證協議搭建與分析
一、實驗目的
1)掌握利用 Kerberos網路認證協議搭建方法;
2)掌握Windows Server 2003系統的域和DNS伺服器的搭建;
3)掌握Kerberos 認證原理;
二、實驗環境
域伺服器:Windows Server 2003 IP:10.1.1.200
客戶機:Windows XP IP:10.1.1.100
輔助工具:Windows Server 2003 Resource Kit Tools
三、實驗步驟
實驗步驟一:
實驗步驟二:
3、檢視和配置DNS伺服器
4、建立域使用者
實驗步驟三:
5、將Windows XP加入域環境
6、登入到域環境
7、檢視票據
四、分析與思考
1)寫出實驗完成過程。
2)更改Kerberos策略,如何能兼顧安全性和票據的有效期?
(1)服務票證最長壽命
(2)強制使用者登入限制
(3)使用者票證續訂最長壽命
(4)使用者票證最長壽命
3)分析Kerberos認證協議的侷限性。
Kerberos的缺點有,比如Kerberos身份認證採用的是對稱加密機制,加密和解密使用相同的金鑰,安全性有所降低;Kerberos中身份認證服務和票據授權服務時集中式管理的,容易形成瓶頸,系統的效能和安全性也過分依賴於這兩個服務的效能和安全。
4)Kerberos是Windows整合身份驗證中的一種協議,那麼請同學通過IIS建立網站,並且使用Windows整合身份驗證來設定訪問許可權。通過Kerbtray來檢視認證資訊。
5)動手能力強的同學可以嘗試使用Kerberos整合身份驗證連線到SQL Server,並且驗證。驗證可通過Kerberos訪問SQL Server(在SQL Server Management Studio中執行以下查詢:select auth_scheme from sys.dm_exec_connections where session_id=@@spid
五、答題