[ Pobierz całość w formacie PDF ]
.Logowanie za pomoc¹ kart elektronicznych (smart card) przebiega w nastêpuj¹cysposób:U¿ytkownik wk³ada kartê elektroniczn¹ (smart card) do czytnika kart do³¹czonegodo danego komputera.Jeœli komputery z systemem Windows 2000 s¹ skonfigurowanetak, aby mo¿na by³o korzystaæ z logowania za pomoc¹ kart elektronicznych (smartcard), w³o¿enie karty jest równowa¿ne sekwencji Secure Attention Sequence(SAS).WinLogon wysy³a komunikat do biblioteki DLL o nazwie MSGINA, która wyœwietlaokno dialogowe Informacje logowania (lLogon Iinformation (Informacjelogowania).U¿ytkownik wpisuje numer PIN (personal Personal identification IdentificationnumberNumber).Biblioteka DLL MSGINA wysy³a informacje logowania u¿ytkownika do Llokalnejjednostki certyfikuj¹cej (Local Security Authority-LSA), korzystaj¹c zwywo³ania API LsaLogonUser.Lokalna jednostka Jednostka certyfikuj¹ca Certyfikuj¹ca (Local SecurityAuthority -— LSA) korzysta z numeru PIN, aby uzyskaæ dostêp do kartyelektronicznej (smart card), na której zapisany jest klucz prywatny u¿ytkownikaoraz certyfikat X.509v3, zawieraj¹cy publiczn¹ po³owê z pary kluczyprywatny--publiczny.Wszystkie operacje kryptograficzne korzystaj¹ce z tychkluczy maj¹ miejsce na karcie elektronicznej.Us³ugodawca obs³ugi Obs³ugi zabezpieczeñ Zabezpieczeñ (SSP) Kerberos nakomputerze klienta wysy³a w komunikacie ¿¹dania uwierzytelnienia wstêpnego,KRB_AS_REQ, certyfikat z kluczem publicznym (public key certificate)u¿ytkownika do CcCentrum dystrybucji Dystrybucji kluczy Kluczy (KeyDistribution Center-(KDC) jako dane uwierzytelniania wstêpnego(preauthentication data).Centrum dystrybucji Dystrybucji kluczy Kluczy (Key Distribution Center-KDC)sprawdza poprawnoœæ certyfikatu i odczytuje klucz publiczny (public key), któryu¿ywa do szyfrowania klucza sesji logowania (logon session key).W komunikaciewysy³anym w odpowiedzi do klienta, KRB_AS_REP, zwraca zaszyfrowany klucz sesjilogowania (logon session key) i bilet gwarantuj¹cy bilet (Ticket-GrantingTicket-TGT).Jeœli klient posiada prywatn¹ po³owê z pary kluczy prywatny -– -publiczny,korzysta z klucza prywatnego (pivate key) do odszyfrowania klucza sesjilogowania (logon session key).Nastêpnie zarówno klient, jak i centrum dystrybucji kluczyCentrum DystrybucjiKluczy (Key Distribution Center-KDC) korzystaj¹ z klucza sesji logowania (logonsession key) do wymiany dwustronnej informacji.Nie ma innych odchyleñ odprotoko³u standardowego.Us³ugodawca oObs³ugi zZabezpieczeñ Kerberos (Kerberos SSP), dzia³aj¹cy nakomputerze klienta, Ddomyœlnie us³ugodawca obs³ugi zabezpieczeñ Kerberos(Kerberos SSP) dzia³aj¹cy na komputerze klienta wysy³a dane uwierzytelnianiawstêpnego do CcCentrum dystrybucji Dystrybucji kluczy Kluczy (KDCpreauthentication data) w postaci zaszyfrowanego znacznika czasu (timestamp).Wsystemach, w których zastosowano logowanie siê za pomoc¹ kart elektronicznych(smart card), us³ugodawca Us³ugodawca obs³ugi Obs³ugi zabezpieczeñ ZabezpieczeñKerberos (Kerberos SSP) wysy³a dane uwierzytelniania wstêpnego(preauthentication data) w postaci klucza publicznego.W rozdziale 6.znajdujesiê dok³adniejszy opis kluczy publicznych, a w rozdziale 9.opisano szerzejkorzystanie z kart elektronicznych (smart cards).Uwierzytelnianie przekraczaj¹ce granice domenyFunkcje CcCentrum dystrybucji Dystrybucji kluczy Kluczy (Key DistributionCenter-KDC) s¹ podzielone na dwie odmienne us³ugi: us³ugê uwierzytelniania,która wydaje bilety gwarantuj¹ce bilet (Ticket-Granting Ticket-TGT), orazus³ugê wydawania biletów (Ticket- Granting Service -— TGS), która wydaje biletysesji (session tickets).Umo¿liwia to protoko³owi Kerberos przekraczanie granicdomen.Klient mo¿e otrzymaæ bilet gwarantuj¹cy bilet (Ticket-GrantingTicket-TGT) od us³ugi uwierzytelniania (authentication service) w jednejdomenie i u¿yæ go do uzyskania biletów sesji (session tickets) od us³ugiwydawania biletów (tTicket gGranting sService) z innej domeny.Po pierwsze, rozwa¿my sieæ, w której istniej¹ dwie domeny systemu Windows 2000,East i West.Jeœli ustanowiono relacjê zaufania (trust relationship),uwierzytelnianie przekraczaj¹ce granice domeny zaimplementowano przezwspó³dzielenie klucza miêdzydomenowego (interdomain key)
[ Pobierz całość w formacie PDF ]