[ Pobierz całość w formacie PDF ]
.microsoft.com/technet/security/kerberos/default.asp).Znacznie ważniejszym problemem jest fakt iż, z powodu podjętych przez Microsoft decyzji dotyczących implementacji (część z nich przypuszczalnie opiera się bardziej na strategii niż technologii), nie każdy typ interakcji pomiędzy obszarami Kerberosa jest obsługiwany.Co nie powinno zaskakiwać, wyborem dającym najwięcej możliwości współpracy jest umieszczenie KDC w systemie Windows 2000 Server (patrz rysunek 23.6); wówczas współpracować mogą:lKlienty uniksowe z serwerami uniksowymi.llKlienty uniksowe z serwerami korzystającymi z Active Directory.llKlienty korzystające z Active Directory z serwerami uniksowymi.lRysunek 23.6Preferowane jest wykorzystanie systemu Windows 2000 Server jako KDCApplication ProtocolProtokół aplikacjiKerberos SSPProtokół dostawcy zabezpieczeń KerberosTicketBiletGSS Kerberos mechanismMechanizm GSS KerberosaGSS-Kerb5 Token Formats (RFC 1964)Formaty tokenu GSS-Kerb5 (RFC 1964)Unix ServerSerwer uniksowyJeśli poszukujemy współpracy z istniejącymi serwerami Kerberosa bazującymi na systemie Unix (które, tak przy okazji, muszą opierać się na wersji MIT Kerberosa aby móc w ogóle działać), widoki są mniej obiecujące.Jeśli chcemy oprzeć infrastrukturę wyłącznie na KDC bazujących na implementacji MIT Kerberosa, konfiguracja Windows 2000 Professional jest ograniczona do współpracy z KDC (to znaczy, wykluczając po drodze zwyczajową ścisłą integrację z DC Active Directory).Ponadto jedynie aplikacje Windows 2000 akceptujące uwierzytelnienie oparte na nazwie (w przeciwieństwie do kontroli dostępu w stylu Windows 2000 Server) będą w stanie wykorzystać rozwiązanie bazujące na implementacji MIT Kerberosa.Ponieważ uwierzytelnienie oparte na nazwie zazwyczaj nie wystarcza, najlepszą (i popieraną przez Microsoft) opcją jest utworzenie wieloplatformowego środowiska Kerberos, w którym Windows 2000 Server współpracuje z implementacją MIT Kerberosa za pomocą relacji zaufania między obszarami (patrz rysunek 23.7).W tym przypadku uniksowy KDC może grać rolę domeny kont, natomiast usługi oparte na Windows 2000 mieszczą się w domenie zasobów Windows 2000 (dzięki temu KDC Windows 2000 jest serwerem autoryzującym dla usług bazujących na Windows 2000).Inaczej mówiąc, klienty które otrzymały bilet TGT od KDC w systemach innych niż Windows 2000 będą w stanie skorzystać z mechanizmów odwołań Kerberosa, by zażądać biletu sesji od KDC w domenie Active Directory.Bilet odwołania jest tworzony przez międzyobszarowe relacje zaufania pomiędzy KDC.Rysunek 23.7Jeśli w konfiguracji Kerberosa musi znaleźć się jeden lub więcej KDC działających pod innymi systemami operacyjnymi niż Windows 2000 Server, należy zawsze umieścić serwery Windows 2000 w środowisku Windows 2000Unix realmŚrodowiskouniksoweWindows 2000 realmŚrodowisko Windows 2000TicketBiletTGT TicketBilet TGTUnix WorkstationUniksowa stacja roboczaWindows 2000 Auth.DataDane uwierzytelnienia Windows 2000Name mapping to.Odwzorowanie nazw na konta Windows 2000Wobec tego w sytuacji między obszarami otrzymujemy w istocie ten sam zestaw opcji jak w projekcie korzystającym wyłącznie z Windows 2000 Server.Jednakże wymaga to dodatkowego wkładu pracy w zarządzanie, ponieważ trzeba zaimplementować odwzorowania nazw pomiędzy wystawcami zabezpieczeń w obszarze uniksowym i lustrzane lub pośredniczące konta użytkowników i ich przynależność do grup w Active Directory — w najgorszym przypadku trzeba będzie odwzorować każde konto w obszarze uniksowym na odpowiadające konto Active Directory, co jakby wyrównuje wiele przyczyn implementowania Kerberosa.Unifikacja dostępu do plików za pomocą DFSZanim zabierzemy się za męczącą migrację posiadanych systemów plików do NTFS, powinniśmy zrobić sobie przysługę i rozważyć o wiele prostsze rozwiązanie - Rozproszony system plików (DFS), który stanowi składnik Windows 2000 Server.DFS ułatwia znajdowanie i zarządzanie danych w sieci, jednocząc pliki w różnych komputerach w pojedynczą przestrzeń nazw.W ten sposób administratorzy systemów informacyjnych mogą utworzyć pojedynczy, hierarchiczny widok wielu serwerów plików i udziałów serwerów plików w sieci.W wyniku oznacza to, że NTFS (Windows 2000 Server), system plików NetWare (Novell NetWare), NFS (Unix) i inne systemy można zjednoczyć we wspólną strukturę nazewniczą
[ Pobierz całość w formacie PDF ]