Microsoft a fondé son implémentation de Kerberos sur le standard ouvert défini par la RFC 1510 (c'est-à -dire Kerberos V5). Kerberos peut donc assurer l'interopérabilité de l'authentification entre Windows 2000 et les autres OS supportant une implémentation basée sur la RFC 1510.L'interopérabilité Kerberos existe en trois parfums : un serveur Windows
Kerberos est un standard ouvert
2000 héberge le KDC Kerberos et sert de KDC pour Windows 2000
et les autres plates-formes clientes ; un serveur non-Windows 2000 héberge le
KDC et dessert toutes les plates formes, notamment Windows 2000 ; enfin, on peut
créer une relation d’approbation transversale entre un domaine Windows 2000 et
une autre plate-forme pour permettre une interopérabilité de l’authentification.
L’interopérabilité de l’authentification Kerberos n’est pas simple et complique
l’administration. Par exemple, pour utiliser une telle approbation en vue de l’interopérabilité
de l’authentification entre Windows 2000 et une plate-forme UNIX, il faut établir
une correspondance explicite entre chaque compte UNIX devant accéder aux ressources
de votre domaine Windows 2000 et un compte Windows 2000 (voir l’écran 5). Il faut
mapper chaque compte UNIX, car les noms de comptes Kerberos UNIX ne signifient
rien pour les domaines Windows 2000. Les environnements Windows utilisent des
SID pour identifier les comptes.
En revanche les comptes UNIX définis dans un domaine Kerberos UNIX n’ont pas de
SID. La boîte de dialogue Security Identity Mapping montre le mapping dans les
fonctions avancées d’un objet utilisateur.
De plus, les entreprises européennes doivent tenir compte des lois d’exportation
américaines lorsqu’elles prévoient l’interopérabilité de l’authentification.
Ces lois interdisent, en effet, l’exportation de logiciels utilisant des longueurs
de clés de chiffrement supérieures à 56 bits. Le standard Kerberos V5 du MIT,
qui est disponible sur les sites Web US pour les plates-formes UNIX, utilise des
clés de 128 bits et n’est pas exportable. Le Kerberos de Windows 2000 existe en
version américaine non exportable utilisant des clés de 128 bits et en version
internationale exportable utilisant des clés de 56 bits. Vous pouvez vérifier
la version de Windows 2000 que vous exécutez en regardant les propriétés de l’un
des fichiers système suivants : schannel.dll, rsabase.dll ou ndiswan.sys.
En outre, bien qu’implémenté comme plug-in SSPI (Security Support Provider Interface)
par Microsoft, Kerberos supporte les formats de jetons GSS_API définis par la
RFC 1964. Résultat, une application UNIX supportant GSS_API et une application
Windows 2000 peuvent utiliser Kerberos pour s’authentifier mutuellement.
Téléchargez cette ressource
Rapport mondial 2025 sur la réponse à incident
Dans ce nouveau rapport, les experts de Palo Alto Networks, Unit 42 livrent la synthèse des attaques ayant le plus impacté l'activité des entreprises au niveau mondial. Quel est visage actuel de la réponse aux incidents ? Quelles sont les tendances majeures qui redessinent le champ des menaces ? Quels sont les défis auxquels doivent faire face les entreprises ? Découvrez les top priorités des équipes de sécurité en 2025.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Cybersécurité : le secteur de la santé toujours au défi de la sécurité des e-mails
- Attaque Microsoft SharePoint, analyse et recommandations
- Devenir RSSI : quels parcours et de quelles qualités faire preuve ?
- Évolution du marché de la virtualisation : quelle voie choisir ?
- La performance de l’IA et l’analytique reposent sur des fondations de données solides
