利用IPsec實現網路安全之五(Kerveros實現身份驗證)

作者:許本新

上文說到利用證書服務實現IPSEC驗證,今天接著說利用Kerberos協議實現IPsec驗證。在介紹操作之間我們先了解一下什麼是kerberos協議。

kerberos是由MIT開發的提供網路認證服務的系統。它可用來為網路上的各種server提供認證服務,使得口令不再是以明文方式在網路上傳輸，並且聯接之間通訊是加密的。它和PKI認證的原理不一樣，PKI使用公鑰體制(不對稱密碼體制)，kerberos基於私鑰體制(對稱密碼體制)。Kerberos稱為可信的第三方驗證協議,意味著它執行在獨立於任何客戶機或伺服器的伺服器之上

Kerberos提供三種安全等級：

1)只在網路開始連線時進行認證，認為連線建立起來後的通訊是可靠的，認證式網路檔案系統(Authenticated network file system) 使用此種安全等級；

2)安全訊息(sage messages)傳遞：對每次訊息都進行認證工作，但是不保證每條訊息不被洩露；

3)私有訊息(private messages)傳遞：不僅對每條訊息進行認證，而且對每條訊息進行加密。Kerberos在傳送密碼時就採用私有訊息模式。

另外值得關注的是在 Windows Server 2003 中實施 Kerberos 協議時會有兩種新的擴充套件：

1)協議轉換：協議轉換擴充套件允許某項使用 Kerberos 的服務代表 Kerberos 主體獲得某項服務的 Kerberos 服務票證，而無需該主體最初使用憑據進行 Kerberos 金鑰發行中心 (KDC) 驗證。

2)受限委派：受限委派擴充套件允許某項服務在通過 TGS_REQ 協議（如 IETF RFC 1510 中所定義）或在協議轉換擴充套件中獲得服務票證之後再針對其他服務的子集獲得服務票證（使用委派使用者標識）。

下面我們就來看如何在widnows server 2003域環境下架設以Kerberos協議驗證的IPsec,以實現安全通訊.整個實驗拓撲如圖5-1所示.

 

圖5-1

 

 

一、 安裝配置AD

在上圖域計算機中安裝AD名稱假設為adtest.com，並整合安裝DNS。安裝完成後在AD中建立兩個帳號分別為user1和user2，併為此兩帳號在域中委派“將計算機加入到域”的許可權。如圖5-2和5-3所示。

 

圖5-2

 

 

圖5-3

二、 配置客戶端

將客戶端計算機DNS地址指向DNS伺服器另設定好相關IP地址後，將其加入域。加入域後重啟計算機選擇本地計算機登入，然後在本地使用者和組中選擇administrators組將adtest.com中的user1和user2帳號加入本地administrators組，否則user1和user2不具有管理和配置IPsec功能。如圖5-4

 

 

圖5-4

三、 配置IPSEC策略

IPsec策略配置方法與前面的CA驗證的配置方法完全相同只是在身份驗證中選擇如圖5-6所示的.另外IPSEC兩端需要配置的完全相同才可以.

 

圖5-6

 

      本文轉自xubenxin  51CTO部落格，原文連結：http://blog.51cto.com/windows/406653，如需轉載請自行聯絡原作者