DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 232179 - Última revisão: terça-feira, 27 de Fevereiro de 2007 - Revisão: 3.2

 

Nesta página

Sumário

A implementação do protocolo de autenticação Kerberos do Windows 2000 não necessita de administração extensa ou configuração. Porque é o pacote de autenticação predefinido, é instalado automaticamente em todos os computadores baseados no Microsoft Windows 2000. Excepto para cartões Smart Card, Kerberos é normalmente um processo automático e não é necessário configurá-la. Existem poucos opções de política que podem ser aplicadas a Kerberos. O Monitor de rede não é necessário um analisador incorporado e uma vez que a maior parte dos tráfego de Kerberos é encriptado, rastreios não são muito revealing e portanto não muito útil. Este artigo descreve a administração do protocolo Kerberos.

Mais Informação

Incluídos dois utilitários para administração de Kerberos: KerbTray e NetDom.

KerbTray

KerbTray é utilizado para apresentar informações de permissão para um determinado computador com o protocolo Kerberos. O ícone KerbTray está localizado no tabuleiro do sistema (no lado direito da barra de tarefas) e pode ser utilizado para ver e limpar a cache de permissão. Para utilizar KerbTray, clique com o botão direito do rato no ícone e, em seguida, clique em Lista bilhetes ou Bilhetes de remover . Quando estiver a visualizar a cache de permissão, os seguintes sinalizadores de mapeiam para a coluna sinalizadores:
  • F = forwardable
  • f = reencaminhado
  • P = proxiable
  • p = através do proxy
  • D = pode postdate
  • d = postdated
  • i = inválido
  • R = renovável
  • I = inicial
  • H = hardware autenticado
  • A = pre-authenticated
  • L = OK como delegado

Predefinições de sinalizador de permissão

  • Para a permissão de conceder permissão ou TGT (a permissão listada primeira): FPRI (Forwardable Proxiable, Renewable e inicial).
  • Para permissões de sessão (os segundo e terceiro listados bilhetes): FPR (Forwardable Proxiable e Renewable).

NetDom

NetDom é uma ferramenta Resource Kit para manipular canais seguros entre servidores para servidores e servidores, estações de trabalho. No Windows 2000, NetDom é uma ferramenta que verifica para servidores do domínio e fidedignidades. Foi modificada para também permitir a reposição de fidedignidades transitórias Kerberos.

Definições de política Kerberos

No Windows 2000, a política Kerberos é definida ao nível do domínio e implementada do domínio chave Distribution Center (KDC). A política Kerberos é armazenada no Active Directory como um subconjunto de atributos de política de segurança de domínio. Por predefinição, opções de política podem ser definidas apenas por membros do grupo de administradores.

Política Kerberos está localizada na política predefinida de domínio e inclui as seguintes opções:

Impor restrições de início de sessão do utilizador

Quando esta opção está activada, o KDC, Key Distribution Center valida todos os pedidos de uma permissão de sessão examinando a política de direitos de utilizador no computador de destino para verificar que o utilizador tem o direito Iniciar sessão localmente ou para aceder ao computador da rede. É também uma verificação para assegurar que a conta que efectuam o pedido é válida. Verificação é opcional, porque o passo adicional demora algum tempo e pode prejudicar o acesso à rede para serviços. Valor predefinido: activado.

Duração máxima que pode ser renovada uma permissão de utilizador

Esta é a duração máxima de uma permissão (uma TGT ou uma sessão permissão, apesar da política especifica que esta é para uma "autorização de utilizador"). Sem permissão pode ser renovado passado este tempo. Valor predefinido: 7 dias.

Duração da permissão de serviço máximo

"Permissão de serviço" é uma permissão de sessão. As definições são em minutos. A definição deve ser mais de dez minutos e menor que a definição para "Duração de permissão do máxima utilizador". Valor predefinido: 10 horas.

Tolerância máxima para sincronização de relógios do computador

Relógio do servidor KDC, Key Distribution Center e relógio do cliente Kerberos têm de ser sincronizadas para dentro de um número de minutos especificado. Se não estiverem sincronizados os relógios dentro do número de minutos especificado, permissões não são emitidas para o cliente. Este é um dissuasor de ataques de reprodução. As definições são em minutos. Valor predefinido: 5 minutos.

Duração da permissão de utilizador máxima

"Permissão de utilizador" é uma TGT e deve ser renovada passado este tempo. Valor predefinido: 10 horas.

A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbmt kbenv kbinfo KB232179 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 232179  (http://support.microsoft.com/kb/232179/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft