DetailPage-MSS-KB

기술 자료

기술 자료: 266080 - 마지막 검토: 2007년 2월 28일 수요일 - 수정: 7.5

 

이 페이지에서

요약

이 문서에서는 Kerberos V5 인증 프로토콜 Microsoft Windows 2000 구현에 대한 질문과 대답을 제공합니다.

추가 정보

질문

Windows 2000의 Kerberos 구현은 다른 Kerberos 구현은 상호 운용할 수 있습니까?

응답

Kerberos Windows 2000 구현에서는 다음 RFC에 따라 개발되었습니다.

Kerberos

http://www.ietf.org/rfc/rfc1510.txt?number=1510 (http://www.ietf.org/rfc/rfc1510.txt?number=1510)

GSSAPI Kerberos V5 메커니즘

http://www.ietf.org/rfc/rfc1964.txt?number=1964 (http://www.ietf.org/rfc/rfc1964.txt?number=1964)

MIT Kerberos 테스트 버전 1.0.5, 1.0.6 및 1.1.1 다음 Windows 2000 Kerberos 상호 운용성 백서를 설명한 시나리오를 상호 운용성 있는지 나타냅니다.
http://technet.microsoft.com/en-us/library/bb742432.aspx (http://technet.microsoft.com/en-us/library/bb742432.aspx)
상호 운용성 테스트를 Heimdal, CyberSafe, IBM 및 Sun 구현으로 또한 발생했습니다.

Microsoft Windows 2000의 Kerberos 구현은 다음 RFC 규격 것입니다.
http://www.ietf.org/rfc/rfc1510.txt?number=1510 (http://www.ietf.org/rfc/rfc1510.txt?number=1510) http://www.ietf.org/rfc/rfc1964.txt?number=1964 (http://www.ietf.org/rfc/rfc1964.txt?number=1964)
Kerberos V5 Microsoft Windows 2000 구현 Kerberos V4에 대한 지원이 포함되어 있지 않습니다.

질문

어떻게 상호 영역 트러스트 Windows 2000 도메인에 설치하지?

응답

Kerberos 5 위한 단계별 지침 단계를 나와 있습니다 (krb5 1.0) 상호 운용성:
http://technet.microsoft.com/en-us/library/bb742433.aspx (http://technet.microsoft.com/en-us/library/bb742433.aspx)

질문

Windows 2000 Kadmin 지원합니까?

응답

아니오, Windows 2000 경량 디렉터리 액세스 프로토콜 지원합니다 (LDAP) 계정 관리.

질문

어떤 암호 프로토콜 변경 Kerberos 클라이언트가 Windows 2000 지원합니까?

응답

Windows 2000 인터넷 초안 draft-ietf-cat-kerb-chg-password-02.txt 설명한 대로 Kerberos 변경 암호 프로토콜은 구현합니다. 또한 이 프로토콜은 MIT krb5-1.1.1이 구현됩니다.

참고 예제 파일 링크가 이 웹 페이지의 링크 맨 위에서 언급한 인터넷 초안 복사본을 찾을 수 있습니다.

질문

어떻게 Windows 2000 키 배포 센터 (KDC) 찾고 있지?

응답

Windows 2000 클라이언트 도메인 이름 시스템(DNS) SRV 레코드를 사용하여 도메인에 있는 도메인 컨트롤러를 찾기 및 _ldap._tcp.dc._msdcs SRV 레코드를 확인할 했습니다. 또한 Windows 2000 도메인 컨트롤러를 _kerberos 및 _kpasswd 서비스에 대한 SRV 레코드를 게시합니다. 목록 중 게시된 SRV 레코드를 도메인 컨트롤러에서 다음 파일에서 찾을 수 있습니다.
%Windir%\System32\Config\Netlogon.dns

질문

Windows 2000 일반 보안 서비스 응용 프로그램 지원하지 프로그래밍 인터페이스 (GSSAPI) (RFC-2743 (http://www.ietf.org/rfc/rfc2743.txt?number=2743) )?

응답

Microsoft는 보안 지원 공급자 어떤 의미가 있는 GSSAPI 비슷하지만 구문이 다른 인터페이스(SSPI) 지원합니다. SSPI에 대한 자세한 내용은 Microsoft Windows 플랫폼 SDK를 참조하십시오. Kerberos SSP) 보안 지원 공급자 (의해 사용되는 프로토콜은 다음 RFC 정의된 GSSAPI Kerberos5 메커니즘을 사용하는 것과 같습니다.
http://www.ietf.org/rfc/rfc1964.txt?number=1964 (http://www.ietf.org/rfc/rfc1964.txt?number=1964)

질문

Windows 2000 Krb5 응용 프로그래밍 인터페이스 지원하지 (API) s?

응답

아니오 Windows 2000 지원 통해 SSPI 있는 유일한 Kerberos 인터페이스 및 Windows Platform SDK에 문서화된 LsaCallAuthenticationPackage() 티켓 인터페이스에. SSPI 인터페이스를 동일한 Kerberos GSSAPI 및 GSSAPI kerberos5 사용하는 응용 프로그램을 생성하는 전선의 mechtype (RFC-1964 (http://www.ietf.org/rfc/rfc1964.txt?number=1964) ). LsaCallAuthentication 패키지를 인터페이스를 Kerberos 티켓 캐시에서 티켓을 검색할 수 있는 메커니즘을 제공합니다.

질문

어떤 확장명을 Microsoft 위해 Kerberos 만들 있습니까?

응답

Microsoft로 IETF 인터넷 기초 게시된 다음 확장을 구현했습니다.

Kerberos 암호 설정 protocol:
http://www.ietf.org/rfc/rfc3244.txt (http://www.ietf.org/rfc/rfc3244.txt)

질문

Kerberos 티켓의 권한 부여 데이터를 무엇입니까?

응답

Kerberos 티켓의 권한 부여 데이터는 다음 RFC 작성자에 의해 공급업체 특정 권한 부여 데이터를 구현하기 위해 의도된:
http://www.ietf.org/rfc/rfc1510.txt?number=1510 (http://www.ietf.org/rfc/rfc1510.txt?number=1510)
Windows 2000 분산된 보안 메커니즘을 특정 데이터를 유지하기 위해 이 필드를 사용합니다. Windows 2000 Server 분산 시스템 가이드 페이지 667 669 설명되어 있습니다. 권한 부여 필드의 용도의 정보는 다음 RFC 키에 있습니다.
http://www.ietf.org/rfc/rfc1510.txt?number=1510 (http://www.ietf.org/rfc/rfc1510.txt?number=1510)

질문

어떻게 Windows 2000 시스템 시계를 동기화할 유지할 수 있습니까?

응답

단순 네트워크 다음 버전의 Windows 2000 클라이언트가 사용하는 SNTP 시간 프로토콜:
http://www.ietf.org/rfc/rfc1769.txt?number=1769 (http://www.ietf.org/rfc/rfc1769.txt?number=1769)
시간 동기화 조정합니다 (표준 시간대 독립된 이름인 UTC 표준시)를 사용합니다. 컴퓨터가 사이트, 도메인, PDC FSMO 및 안정적인 시간 서버 관련된 복잡한 알고리즘을 수행하여 시간 원본을 결정합니다. 시간 서비스가 net time 명령을 사용하여 제어됩니다. 부팅할 때 자동으로 시작되도록 도메인 가입 동작을 Windows 2000 시간 서비스가 있습니다. Windows 2000 컴퓨터와 통신할 때 시간 패킷은 서명된 해시는 시간 정보는 보안이 유지됩니다. Windows NT 보안 채널 보안 기반으로 하며 서명 키 클라이언트 컴퓨터 계정에 의해 결정됩니다.

질문

암호화 종류 Windows 2000 지원합니까?

응답

Windows 2000은 다음과 같은 암호화 형식을 지원합니다.

rc4-hmac

DES-CBC-crc

DES-CBC-md5

Kerberos 암호화 키 길이:
표 축소표 확대
인증서명개인 정보
rc4-hmac12812856 (128 (고수준 암호화 팩 설치
DES-CBC-crc565656
DES-CBC-md5565656

질문

직접 어떤 Kerberos 티켓을 out 찾으려면 어떻게 해야 합니까?

응답

Kerberos 티켓을 LSA에 의해 티켓 캐시에 저장되며 사용자가 로그를 다른 곳으로 때 캐시는 소멸됩니다. 로그온한 사용자만 액세스할 수 있는 티켓 캐시에 있는 있습니다. 리소스 키트 유틸리티 Klist.exe 또는 Kerbtray.exe 캐시에서 티켓을 검사하는 데 사용할 수 있습니다.

질문

Windows 2000 Pkinit 지원합니까?

응답

Windows 2000의 Kerberos Pkinit 초안 버전 9 구현을 제공합니다. 스마트 카드 로그온 지원하기 위해 Pkinit Windows 2000에서 특정 사용이 제한됩니다. Pkinit은 Windows 2000 릴리스 이후 다른 구현에서 테스트되지 않았습니다.

질문

기본 티켓 수명 무엇입니까?

응답

기본 티켓 수명 도메인 정책을 사용하여 도메인 수준에서가 제어됩니다. 기본값은 다음과 같습니다.
  • MaxServiceTicketAge: 10 시간
  • MaxTicketAge: 10 시간
  • MaxRenewAge: 7일
  • MaxClockSkew: 5분

질문

로그온 제한 수행 의미는?

응답

로그온 제한 수행 라는 Kerberos 정책 설정이 있습니다. 사용자가 있는 티켓을-허용-티켓 (TGT) 요청에 사용할 때마다 이 설정은 사용하면 여전히 유효한지 확인하는 데 계정의 티켓이 확인됩니다. 새 세션 티켓을 얻기 있는 비활성화된 계정을 못하게 됩니다.

질문

위임을 사용하려면 어떻게 해야 합니까?

응답

해당 사용자에게 네트워크 리소스에 액세스할 수 있는 사용자 역할을 하는 서비스 위임을 허용합니다. 클라이언트가 이를 티켓은 KDC에서 사용자를 대신하여 요청할 수 있도록 사용자의 TGT가 서비스에 전달하도록 합니다. 서비스 사용자 이름으로 역할을 할 수 있기 때문에 중요한 위임 요청될 때 사용자의 TGT가 서비스를 제공하는 경우 제한할 수 컨트롤을 TGT를 Windows 2000 부여하는 전에 서비스가 신뢰할 수 있습니다.

Kerberos 변경 내용을 새 티켓을 플래그를 - 위임할 때 확인"인터넷 초안 지정합니다. Windows 2000 KDC는 위임용으로 트러스트된 계정 제어 플래그가 설정되어 있는 서비스 티켓을 있는 이 플래그를 설정합니다. 다음 서비스 티켓을 대리자로 확인 플래그가 설정된 경우 위임을 SSPI 프로그램이 요청한 경우 해당 SSPI 사용자의 TGT를 서비스에 전달합니다. 티켓 플래그가 설정되어 있지 않은 경우 SSPI 위임 플래그는 무시됩니다 및 TGT를 않는 전달됩니다.

티켓 플래그를 설정할 KDC 함께 실행 중인 경우 해당 RealmFlags 영역 위임을 위해 신뢰하도록 외부 영역 레지스트리 구성을 설정할 수 있습니다. RealmFlags 플래그 값을 4로 설정하면 이 기능을 사용할 수 있습니다.

RealmFlags 레지스트리 설정에 대한 자세한 내용은 Windows 2000 레지스트리 Windows 2000 리소스 키트에 포함된 참조 (Regentry.chm)를 참조하십시오.

질문

Windows 2000 (RFC-2478 (http://www.ietf.org/rfc/rfc2478.txt?number=2478) ) SPNEGO 지원합니까?

응답

예입니다. Negotiate SSP SPNEGO를 구현합니다. Negotiate SSP 대부분의 프로그램은 Windows 2000에서 사용하는 일반적인 기본 패키지입니다.

질문

텔넷 및 FTP (파일 전송 프로토콜) 클라이언트가 Windows 2000 Kerberized?

응답

Windows 2000에서 텔넷 및 FTP 서비스를 Kerberos 인증을 사용하지 않습니다.

이 문서에 나와 있는 다른 공급업체 제품은 Microsoft와 무관한 회사에서 제조한 것입니다. Microsoft 는 이러한 제품의 성능 및 신뢰성에 관하여 명시적이든 묵시적이든 어떠한 보증도 하지 않습니다.

본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
키워드: 
kbmt kb3rdparty kbfaq kbinfo kbkerberos KB266080 KbMtko
기계 번역된 문서기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.
공유
추가 지원 옵션
Microsoft Community 지원 포럼
직접 문의하기
Microsoft Certified Partner 찾기
Microsoft Store
중소기업이 아닙니까?
소셜 채널로 문의하기