利用IPsec实现网络安全之五(Kerveros实现身份验证)-阿里云开发者社区

开发者社区> 技术小胖子> 正文

利用IPsec实现网络安全之五(Kerveros实现身份验证)

简介:
+关注继续查看

作者:许本新

上文说到利用证书服务实现IPSEC验证,今天接着说利用Kerberos协议实现IPsec验证。在介绍操作之间我们先了解一下什么是kerberos协议。

kerberos是由MIT开发的提供网络认证服务的系统。它可用来为网络上的各种server提供认证服务,使得口令不再是以明文方式在网络上传输,并且联接之间通讯是加密的。它和PKI认证的原理不一样,PKI使用公钥体制(不对称密码体制)kerberos基于私钥体制(对称密码体制)Kerberos称为可信的第三方验证协议,意味着它运行在独立于任何客户机或服务器的服务器之上

Kerberos提供三种安全等级:

1)只在网络开始连接时进行认证,认为连接建立起来后的通信是可靠的,认证式网络文件系统(Authenticated network file system) 使用此种安全等级;

2)安全消息(sage messages)传递:对每次消息都进行认证工作,但是不保证每条消息不被泄露;

3)私有消息(private messages)传递:不仅对每条消息进行认证,而且对每条消息进行加密。Kerberos在发送密码时就采用私有消息模式。

另外值得关注的是在 Windows Server 2003 中实施 Kerberos 协议时会有两种新的扩展:

1)协议转换:协议转换扩展允许某项使用 Kerberos 的服务代表 Kerberos 主体获得某项服务的 Kerberos 服务票证,而无需该主体最初使用凭据进行 Kerberos 密钥发行中心 (KDC) 验证。

2)受限委派:受限委派扩展允许某项服务在通过 TGS_REQ 协议(如 IETF RFC 1510 中所定义)或在协议转换扩展中获得服务票证之后再针对其他服务的子集获得服务票证(使用委派用户标识)。

下面我们就来看如何在widnows server 2003域环境下架设以Kerberos协议验证的IPsec,以实现安全通信.整个实验拓扑如图5-1所示.

 

5-1

 

 

一、 安装配置AD

在上图域计算机中安装AD名称假设为adtest.com,并集成安装DNS。安装完成后在AD中创建两个帐号分别为user1user2,并为此两帐号在域中委派“将计算机加入到域”的权限。如图5-25-3所示。

 

5-2

 

 

图5-3

二、 配置客户端

将客户端计算机DNS地址指向DNS服务器另设置好相关IP地址后,将其加入域。加入域后重启计算机选择本地计算机登录,然后在本地用户和组中选择administrators组将adtest.com中的user1user2帐号加入本地administrators组,否则user1user2不具有管理和配置IPsec功能。如图5-4

 

 

图5-4

三、 配置IPSEC策略

IPsec策略配置方法与前面的CA验证的配置方法完全相同只是在身份验证中选择如图5-6所示的.另外IPSEC两端需要配置的完全相同才可以.

 

5-6

 



      本文转自xubenxin  51CTO博客,原文链接:http://blog.51cto.com/windows/406653,如需转载请自行联系原作者






版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
在与SQL Server建立连接时出现与网络相关的或特定于实例的错误
        向往前一样,学习牛腩新闻发布系统的视频,敲代码,打开数据库,出现一个框框,详细内容如下:                 数据库连接不上,所有的工作都要歇班,捣鼓了会儿,简单总结一下解决该问题的方法。
1150 0
DL:深度学习(神经网络)的简介、基础知识(神经元/感知机、训练策略、预测原理)、算法分类、经典案例应用之详细攻略
DL:深度学习(神经网络)的简介、基础知识(神经元/感知机、训练策略、预测原理)、算法分类、经典案例应用之详细攻略
17 0
python模块介绍- SocketServer 网络服务框架
来源:https://my.oschina.net/u/1433482/blog/190612 摘要: SocketServer简化了网络服务器的编写。它有4个类:TCPServer,UDPServer,UnixStreamServer,UnixDatagramServer。
849 0
在与 SQL Server 建立连接时出现与网络相关的或特定于实例的错误
错误信息: 标题: 连接到服务器 ------------------------------ 无法连接到 (local)。 ------------------------------ 其他信息: 在与 SQL Server 建立连接时出现与网络相关的或特定于实例的错误。未找到或无法访问服务器。请验证实例名称是否正确并且 SQL Server 已配置为允许远程连接。 (provider
1375 0
SqlServer2008基础知识:安全与权限
分享自 儒雅的男人blog http://www.cnblogs.com/yushaoye201314/archive/2013/04/19/3031203.html 好文,转载收藏 这两天在调用Microsoft.
804 0
Netflix开源面向稀疏数据优化的轻量级神经网络库Vectorflow
在Netflix公司,我们的机器学习科学家在多个不同的领域处理着各种各样的问题:从根据你的爱好来定制电视和推荐电影,到优化编码算法。我们有一小部分问题涉及到处理极其稀疏的数据;手头问题的总维度数很容易就能达到数千万个特征,即使每次要看的可能只是少数的非零项。
4172 0
sql server 性能调优 资源等待之网络I/O
原文:sql server 性能调优 资源等待之网络I/O 一.概述    与网络I/O相关的等待的主要是ASYNC_NETWORK_IO,是指当sql server返回数据结果集给客户端的时候,会先将结果集填充到输出缓存里(ouput cache),同时网络层会开始将输出缓存里的数据打包,由客户端接收。
958 0
13262
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载