Microsoft a fondé son implémentation de Kerberos sur le standard ouvert défini par la RFC 1510 (c'est-à -dire Kerberos V5). Kerberos peut donc assurer l'interopérabilité de l'authentification entre Windows 2000 et les autres OS supportant une implémentation basée sur la RFC 1510.L'interopérabilité Kerberos existe en trois parfums : un serveur Windows
Kerberos est un standard ouvert
2000 héberge le KDC Kerberos et sert de KDC pour Windows 2000
et les autres plates-formes clientes ; un serveur non-Windows 2000 héberge le
KDC et dessert toutes les plates formes, notamment Windows 2000 ; enfin, on peut
créer une relation d’approbation transversale entre un domaine Windows 2000 et
une autre plate-forme pour permettre une interopérabilité de l’authentification.
L’interopérabilité de l’authentification Kerberos n’est pas simple et complique
l’administration. Par exemple, pour utiliser une telle approbation en vue de l’interopérabilité
de l’authentification entre Windows 2000 et une plate-forme UNIX, il faut établir
une correspondance explicite entre chaque compte UNIX devant accéder aux ressources
de votre domaine Windows 2000 et un compte Windows 2000 (voir l’écran 5). Il faut
mapper chaque compte UNIX, car les noms de comptes Kerberos UNIX ne signifient
rien pour les domaines Windows 2000. Les environnements Windows utilisent des
SID pour identifier les comptes.
En revanche les comptes UNIX définis dans un domaine Kerberos UNIX n’ont pas de
SID. La boîte de dialogue Security Identity Mapping montre le mapping dans les
fonctions avancées d’un objet utilisateur.
De plus, les entreprises européennes doivent tenir compte des lois d’exportation
américaines lorsqu’elles prévoient l’interopérabilité de l’authentification.
Ces lois interdisent, en effet, l’exportation de logiciels utilisant des longueurs
de clés de chiffrement supérieures à 56 bits. Le standard Kerberos V5 du MIT,
qui est disponible sur les sites Web US pour les plates-formes UNIX, utilise des
clés de 128 bits et n’est pas exportable. Le Kerberos de Windows 2000 existe en
version américaine non exportable utilisant des clés de 128 bits et en version
internationale exportable utilisant des clés de 56 bits. Vous pouvez vérifier
la version de Windows 2000 que vous exécutez en regardant les propriétés de l’un
des fichiers système suivants : schannel.dll, rsabase.dll ou ndiswan.sys.
En outre, bien qu’implémenté comme plug-in SSPI (Security Support Provider Interface)
par Microsoft, Kerberos supporte les formats de jetons GSS_API définis par la
RFC 1964. Résultat, une application UNIX supportant GSS_API et une application
Windows 2000 peuvent utiliser Kerberos pour s’authentifier mutuellement.
Téléchargez cette ressource
Plan de sécurité Microsoft 365
Les attaquants savent comment prendre le contrôle de votre tenant Microsoft 365, et vous, savez-vous comment le reprendre en main ?
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Faire évoluer la souveraineté des données du statut d’ambition politique à son application opérationnelle
- Mythos et modèles-frontières : quel avenir pour la cybersécurité en France et en Europe face à l’IA ?
- IA agentique : des investissements massifs freinés par des données insuffisamment préparées
- CRM et souveraineté : le choix technologique est devenu un choix politique
Articles les + lus
Analyse Patch Tuesday Mai 2026
Les coûts cachés des merge requests générées par l’IA
Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
Moderniser le développement logiciel : de la fragmentation à l’intégration
Analyse Patch Tuesday Avril 2026
À la une de la chaîne Tech
- Analyse Patch Tuesday Mai 2026
- Les coûts cachés des merge requests générées par l’IA
- Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
- Moderniser le développement logiciel : de la fragmentation à l’intégration
- Analyse Patch Tuesday Avril 2026
