Microsoft a fondé son implémentation de Kerberos sur le standard ouvert défini par la RFC 1510 (c'est-à -dire Kerberos V5). Kerberos peut donc assurer l'interopérabilité de l'authentification entre Windows 2000 et les autres OS supportant une implémentation basée sur la RFC 1510.L'interopérabilité Kerberos existe en trois parfums : un serveur Windows
Kerberos est un standard ouvert
2000 héberge le KDC Kerberos et sert de KDC pour Windows 2000
et les autres plates-formes clientes ; un serveur non-Windows 2000 héberge le
KDC et dessert toutes les plates formes, notamment Windows 2000 ; enfin, on peut
créer une relation d’approbation transversale entre un domaine Windows 2000 et
une autre plate-forme pour permettre une interopérabilité de l’authentification.
L’interopérabilité de l’authentification Kerberos n’est pas simple et complique
l’administration. Par exemple, pour utiliser une telle approbation en vue de l’interopérabilité
de l’authentification entre Windows 2000 et une plate-forme UNIX, il faut établir
une correspondance explicite entre chaque compte UNIX devant accéder aux ressources
de votre domaine Windows 2000 et un compte Windows 2000 (voir l’écran 5). Il faut
mapper chaque compte UNIX, car les noms de comptes Kerberos UNIX ne signifient
rien pour les domaines Windows 2000. Les environnements Windows utilisent des
SID pour identifier les comptes.
En revanche les comptes UNIX définis dans un domaine Kerberos UNIX n’ont pas de
SID. La boîte de dialogue Security Identity Mapping montre le mapping dans les
fonctions avancées d’un objet utilisateur.
De plus, les entreprises européennes doivent tenir compte des lois d’exportation
américaines lorsqu’elles prévoient l’interopérabilité de l’authentification.
Ces lois interdisent, en effet, l’exportation de logiciels utilisant des longueurs
de clés de chiffrement supérieures à 56 bits. Le standard Kerberos V5 du MIT,
qui est disponible sur les sites Web US pour les plates-formes UNIX, utilise des
clés de 128 bits et n’est pas exportable. Le Kerberos de Windows 2000 existe en
version américaine non exportable utilisant des clés de 128 bits et en version
internationale exportable utilisant des clés de 56 bits. Vous pouvez vérifier
la version de Windows 2000 que vous exécutez en regardant les propriétés de l’un
des fichiers système suivants : schannel.dll, rsabase.dll ou ndiswan.sys.
En outre, bien qu’implémenté comme plug-in SSPI (Security Support Provider Interface)
par Microsoft, Kerberos supporte les formats de jetons GSS_API définis par la
RFC 1964. Résultat, une application UNIX supportant GSS_API et une application
Windows 2000 peuvent utiliser Kerberos pour s’authentifier mutuellement.
Téléchargez cette ressource
Les mégatendances cybersécurité et cyber protection 2024
L'évolution du paysage des menaces et les conséquences sur votre infrastructure, vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la synthèse des conseils et recommandations à appliquer dans votre organisation.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
