Microsoft a fondé son implémentation de Kerberos sur le standard ouvert défini par la RFC 1510 (c'est-à -dire Kerberos V5). Kerberos peut donc assurer l'interopérabilité de l'authentification entre Windows 2000 et les autres OS supportant une implémentation basée sur la RFC 1510.L'interopérabilité Kerberos existe en trois parfums : un serveur Windows
Kerberos est un standard ouvert
2000 héberge le KDC Kerberos et sert de KDC pour Windows 2000
et les autres plates-formes clientes ; un serveur non-Windows 2000 héberge le
KDC et dessert toutes les plates formes, notamment Windows 2000 ; enfin, on peut
créer une relation d’approbation transversale entre un domaine Windows 2000 et
une autre plate-forme pour permettre une interopérabilité de l’authentification.
L’interopérabilité de l’authentification Kerberos n’est pas simple et complique
l’administration. Par exemple, pour utiliser une telle approbation en vue de l’interopérabilité
de l’authentification entre Windows 2000 et une plate-forme UNIX, il faut établir
une correspondance explicite entre chaque compte UNIX devant accéder aux ressources
de votre domaine Windows 2000 et un compte Windows 2000 (voir l’écran 5). Il faut
mapper chaque compte UNIX, car les noms de comptes Kerberos UNIX ne signifient
rien pour les domaines Windows 2000. Les environnements Windows utilisent des
SID pour identifier les comptes.
En revanche les comptes UNIX définis dans un domaine Kerberos UNIX n’ont pas de
SID. La boîte de dialogue Security Identity Mapping montre le mapping dans les
fonctions avancées d’un objet utilisateur.
De plus, les entreprises européennes doivent tenir compte des lois d’exportation
américaines lorsqu’elles prévoient l’interopérabilité de l’authentification.
Ces lois interdisent, en effet, l’exportation de logiciels utilisant des longueurs
de clés de chiffrement supérieures à 56 bits. Le standard Kerberos V5 du MIT,
qui est disponible sur les sites Web US pour les plates-formes UNIX, utilise des
clés de 128 bits et n’est pas exportable. Le Kerberos de Windows 2000 existe en
version américaine non exportable utilisant des clés de 128 bits et en version
internationale exportable utilisant des clés de 56 bits. Vous pouvez vérifier
la version de Windows 2000 que vous exécutez en regardant les propriétés de l’un
des fichiers système suivants : schannel.dll, rsabase.dll ou ndiswan.sys.
En outre, bien qu’implémenté comme plug-in SSPI (Security Support Provider Interface)
par Microsoft, Kerberos supporte les formats de jetons GSS_API définis par la
RFC 1964. Résultat, une application UNIX supportant GSS_API et une application
Windows 2000 peuvent utiliser Kerberos pour s’authentifier mutuellement.
Téléchargez cette ressource
État des lieux de la réponse à incident de cybersécurité
Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- Et si les clients n’avaient plus le choix ?
- Afficher les icônes cachées dans la barre de notification
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Activer la mise en veille prolongée dans Windows 10
Les plus consultés sur iTPro.fr
- Les technologies à la demande en plein essor !
- Comment le Cloud peut répondre aux défis du secteur de la santé en Europe
- Cloud : 37 % des entreprises françaises sécurisent les données trop tard
- Les banques passent à l’action avec l’IA générative et le cloud
- DSI en assurance : gardien du temple ou moteur de la transformation ?
