Kerberos网络认证协议搭建与分析

Kerberos网络认证协议搭建与分析

一、实验目的

1）掌握利用 Kerberos网络认证协议搭建方法；

2）掌握Windows Server 2003系统的域和DNS服务器的搭建；

3）掌握Kerberos 认证原理；

二、实验环境

域服务器：Windows Server 2003  IP：10.1.1.200

客户机：Windows XP   IP：10.1.1.100

辅助工具：Windows Server 2003 Resource Kit Tools

 

三、实验步骤

实验步骤一：

 

 

 

 

 

 

 

 

 

实验步骤二：

3、查看和配置DNS服务器

 

 

 

 4、创建域用户

 

 

 

 

 

 

 

 

 

 

 

 实验步骤三：

5、将Windows XP加入域环境

 

 

 

 

 

 

 

 

 

 

 6、登录到域环境

 

 7、查看票据

 

 

四、分析与思考

1）写出实验完成过程。

2）更改Kerberos策略，如何能兼顾安全性和票据的有效期？

（1）服务票证最长寿命

（2）强制用户登录限制

（3）用户票证续订最长寿命

（4）用户票证最长寿命

3）分析Kerberos认证协议的局限性。

Kerberos的缺点有，比如Kerberos身份认证采用的是对称加密机制，加密和解密使用相同的密钥，安全性有所降低；Kerberos中身份认证服务和票据授权服务时集中式管理的，容易形成瓶颈，系统的性能和安全性也过分依赖于这两个服务的性能和安全。

4）Kerberos是Windows集成身份验证中的一种协议，那么请同学通过IIS建立网站，并且使用Windows集成身份验证来设置访问权限。通过Kerbtray来查看认证信息。

5）动手能力强的同学可以尝试使用Kerberos集成身份验证连接到SQL Server，并且验证。验证可通过Kerberos访问SQL Server（在SQL Server Management Studio中运行以下查询：select auth_scheme from sys.dm_exec_connections where session_id=@@spid

 

五、答题