Kerberos身份验证的问题通常涉及Kerberos SSP所依赖的技术,或者源于Kerberos设置配置中易于出错的地方。本文总结了这些依赖关系。

Active Directory

早期的操作系统(如Windows NT)不支持Kerberos身份验证。有关ActiveDirectory®目录服务的详细信息,请参阅Microsoft TechNet上的“Active Directory集合”,网址为http://go.microsoft.com/fwlink/?LinkId=25389

Microsoft的Kerberos V5协议实现是Windows Server 2003的默认身份验证机制。Kerberos V5协议是Windows 2000的默认身份验证机制。Windows Server 2003仍然支持非Kerberos客户端的NTLM,例如WindowsNT®Server4.0操作系统。

TCP / IP网络连接

要进行Kerberos身份验证,客户端与域控制器以及客户端和目标服务器之间必须存在TCP / IP网络连接。可能影响网络连接的问题包括:

防火墙。如果使用防火墙,请确保在网络上启用了Kerberos票证授予服务端口(TCP端口88,UDP端口88)

正确操作Kerberos协议所需的TCPUDP端口

PortService                                                                             Description
53/TCP53/UDPDNS serviceThe internal DNS server needs to be accessible to all clients for the location of KDC computers. The Active Directory domain controllers need to be able to access external DNS servers for resolving external domain name requests.
88/TCP88/UDPKerberos ticket-granting serviceAll clients need to be able to connect to this port on the KDC servers.
123/TCP123/UDPTime serviceAll clients need to be able to connect to this port for time synchronization, either to an internal time server or to an external time source. The internal time server will need to connect to an external time source to synchronize.
464/TCPMicrosoft Windows 2000 Kerberos change password protocolThis port is also used by the kpasswd protocol. This port should only be open if clients use the kpasswd protocol.

有关端口域控制器使用的详细信息,请参阅Microsoft知识库中的“Windows Server域控制器默认端口列表”,网址为http://go.microsoft.com/fwlink/?LinkId=22894。有关TCP / IP的详细信息,请参阅Microsoft TechNet上的“TCP / IP技术参考”,网址为http://go.microsoft.com/fwlink/?LinkId=25392。

域名系统

客户端使用完全限定的域名(FQDN)来访问域控制器。为了使客户端获得FQDN,DNS必须正常运行。为获得最佳结果,请勿将主机文件与DNS一起使用。有关DNS的详细信息,请参阅Microsoft Windows Server 2003部署工具包中的“部署DNS”,网址为http://go.microsoft.com/fwlink/?LinkId=23041

时间服务

要使Kerberos身份验证正常运行,必须同步网络上所有计算机上的时间- 也就是说,网络中的所有域和相应的服务器客户端都使用相同的时间源。Active Directory域控制器将充当其域的时间源,从而保证整个域具有相同的时间。有关详细信息,请参阅Microsoft TechNet上的“Windows时间服务技术参考”,网址为http://go.microsoft.com/fwlink/?LinkId=25393

操作系统

Kerberos身份验证依赖于Windows 2000,Windows Server 2003和MicrosoftWindows®XP操作系统中内置的客户端功能。如果客户端,域控制器或目标服务器正在运行早期的操作系统,则它本身无法使用Kerberos身份验证。

故障排除策略

与大多数技术一样,了解Kerberos身份验证应如何工作以及如何确认其是否正在使用,就能更好地隔离问题并确定解决方案。

Kerberos身份验证基础

Kerberos身份验证提供了一种机制,用于在开放网络上的客户端和服务器之间进行相互身份验证,当数据包在网络上传输时,可以被监视和修改。为了提供安全身份验证,Kerberos身份验证使用对称密钥,加密对象和Kerberos服务。



关注微信服务号,手机看文章
关注微信服务号,手机看文章