DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 232179 - Dernière mise à jour: mardi 27 février 2007 - Version: 3.2

 

Sommaire

Résumé

L'implémentation de Windows 2000 du protocole authentification Kerberos ne nécessite pas administration complète ou de configuration. Étant donné qu'il est le package d'authentification par défaut, il est installé automatiquement sur tous les ordinateurs Windows 2000. À l'exception des cartes à puce, Kerberos est généralement un processus automatique et vous ne sont pas de configuration. Il existe très peu choix de stratégie qui peut être appliqués à Kerberos. Le Moniteur réseau n'a pas un analyseur intégré et car la plupart des trafic Kerberos est chiffré, suivis ne sont pas très revealing et par conséquent pas très utile. Cet article décrit l'administration du protocole Kerberos.

Plus d'informations

Deux utilitaires sont inclus pour l'administration Kerberos : KerbTray et NetDom.

KerbTray

KerbTray est utilisée pour afficher les informations de ticket pour un ordinateur donné exécutant le protocole Kerberos. L'icône de KerbTray se trouve dans la barre d'état système (sur le côté droit de la barre des tâches) et peut servir à afficher et de vider le cache de ticket. Pour utiliser KerbTray, cliquez avec le bouton droit sur l'icône, puis cliquez sur liste des bons ou purge les bons . Lorsque vous visualisez le cache de ticket, les indicateurs suivants mapper à la colonne Indicateurs :
  • F = forwardable
  • f = transféré
  • P = proxiable
  • p = transmise par proxy
  • D = peut postdate
  • d = postdated
  • i = non valide
  • R = renewable
  • Je = initial
  • H = matériel authentifié
  • A = pre-authenticated
  • L = OK en tant que délégué

Bon indicateur par défaut

  • Pour le TGT ou TGT (ticket répertorié première): FPRI (Forwardable, Proxiable Renewable et initial).
  • Pour les tickets de session (les deuxième et troisième répertoriés tickets): FPR (Forwardable, Proxiable et Renewable).

NetDom

NetDom est un outil Kit de ressources pour la manipulation des canaux sécurisés entre les serveurs à des serveurs et les serveurs sur des stations de travail. Dans Windows 2000, NetDom est un outil qui vérifie pour les serveurs de domaine et les approbations. Il a été modifié afin de permettent également de la réinitialisation d'une approbation transitive Kerberos.

Paramètres de stratégie Kerberos

Dans Windows 2000, la stratégie Kerberos est définie au niveau du domaine et implémentée par le domaine KDC (Key Distribution Center). La stratégie Kerberos est stockée dans Active Directory comme un sous-ensemble des attributs de la stratégie de sécurité domaine. Par défaut, les options de stratégie peuvent être définies uniquement par les membres du groupe Administrateurs du domaine.

La stratégie Kerberos se trouve dans la stratégie de domaine par défaut et inclut les options suivantes :

Appliquer des restrictions d'ouverture de session utilisateur

Lorsque cette option est activée, le contrôleur de domaine KERBEROS valide chaque demande un ticket de session en examinant la stratégie de droits d'utilisateur sur l'ordinateur cible afin de vérifier que l'utilisateur a droite pour ouvrir une session localement ou pour en accéder à l'ordinateur à partir du réseau. Il est également un chèque pour s'assurer que le compte de demande est toujours valide. La vérification est facultative car l'étape supplémentaire prend du temps et peut ralentir l'accès réseau aux services. Valeur par défaut : activé.

Durée de vie maximale d'un ticket d'utilisateur peut être renouvelée

C'est la durée de vie maximale d'un ticket (un TGT ou une session ticket, bien que la stratégie spécifie que c'est un « ticket utilisateur »). Aucun ticket ne peut être renouvelé après cette date. Valeur par défaut: 7 jours.

Durée de vie ticket de service maximale

Un « ticket de service » est un ticket de session. Paramètres sont les minutes. Le paramètre doit être plus de dix minutes et inférieure au paramètre de durée de « maximale utilisateur vie du ticket. » Valeur par défaut : 10 heures.

Écart maximal pour la synchronisation des horloges de travail

L'horloge du serveur contrôleur de domaine KERBEROS et horloge le client Kerberos doivent être synchronisés avec dans un nombre spécifié de minutes. Si les horloges ne sont pas synchronisés dans le nombre spécifié de minutes, tickets ne sont pas émis au client. C'est un deterrent dans les attaques de relecture. Paramètres sont les minutes. Valeur par défaut: 5 minutes.

Durée de vie bon des utilisateurs maximale

Un « ticket utilisateur » est un TGT et doit être renouvelé après cette date. Valeur par défaut : 10 heures.

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Datacenter Server
Mots-clés : 
kbmt kbenv kbinfo KB232179 KbMtfr
Traduction automatiqueTraduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d’articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d’avoir accès, dans votre propre langue, à l’ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s’exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s’efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 232179  (http://support.microsoft.com/kb/232179/en-us/ )
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store