深入解析Windows 2000中的Kerberos认证机制
1. 密钥分发中心(KDC)
在Windows 2000中运行Kerberos时,密钥分发中心(KDC)是不可或缺的一部分,它以域服务的形式存在。KDC将Active Directory作为其账户数据库的来源,并且每个Windows 2000域控制器都配备了KDC服务和Active Directory。这意味着每个域控制器都能够独立接收认证和票据请求,而无需依赖单一的KDC,大大提高了系统的可用性和可靠性。
每个Kerberos KDC都有自己的主体名称,在Windows 2000里,这个名称是“krbtgt”,它遵循了RFC 1510的指导原则。当创建一个Windows 2000域时,系统会自动为KDC主体创建名为“krbtgt”的用户账户。这个账户属于内置账户,无法被删除、重命名,也不能供普通用户使用。尽管表面上看该账户处于禁用状态,但实际上它正在被KDC使用。如果管理员试图启用该账户,会收到相应的提示对话框。
“krbtgt”账户的密码由Windows 2000自动生成,并且系统会定期自动更换。该账户使用的密钥基于其密码,类似于普通用户的长期密钥。“krbtgt”的长期密钥用于加密和解密它所发放的票据授予票据(TGT)。在一个域中的所有KDC都使用“krbtgt”账户,这使得每个KDC都能使用相同的长期密钥来加密和解密TGT。客户端通过向域名系统(DNS)查询域控制器来确定要与之通信的KDC。找到域控制器后,客户端会向该域控制器上的KDC服务发送KRB_AS_REQ消息。
2. Kerberos策略
在Windows 2000中,Kerberos策略是在域级别进行设置的
