Kerberos-Authentifizierung für die Netzwerkanmeldung in Nicht-Windows-Netzwerken

Es ist nicht sehr schwierig, Windows XP so zu konfigurieren, dass die Netzwerkanmeldung bei einem Drittanbieter authentifiziert wird. Beachten Sie jedoch, dass Windows in der Lage sein muss, den Bereich zu lokalisieren, bevor die Authentifizierung funktionieren kann. Wenn Sie Probleme haben, die Kerberos-Authentifizierung von Drittanbietern zum Laufen zu bringen, verwenden Sie den Befehl NSLOOKUP, um sicherzustellen, dass Windows auf die DNS-Einträge zugreifen kann, die den Servern im Kerberos-Bereich zugeordnet sind. Windows verwendet Kerberos seit Jahren als Authentifizierungsprotokoll. Was Sie jedoch möglicherweise nicht erkennen, ist, dass Kerberos nicht ausschließlich eine Microsoft-Technologie ist. Andere Betriebssysteme können und werden häufig Kerberos verwenden, sodass Windows so konfiguriert werden kann, dass die Kerberos-Authentifizierung verwendet wird, wenn Sie sich bei einem nicht Windows-basierten Kerberos-Bereich anmelden.

Bevor ich anfange…

Das erste, was Sie verstehen müssen, ist, dass ein Kerberos-Realm eines Drittanbieters nicht mit einer Windows-Domäne identisch ist.

Erfahren Sie mehr über Windows XP
Freigeben von Dateien und Ordnern in Windows XPWindows XP- und Windows Server 2003-Verschlüsselung für Remote-Desktops

Daher können viele der authentifizierungsbezogenen Aktivitäten, die Windows automatisch ausführt, nicht mehr als selbstverständlich angesehen werden. Sie müssen Windows so konfigurieren, dass der Kerberos-Bereich, die Kerberos-Kennwortserver und die Key Distribution Center-Server gefunden werden.

Damit dies funktioniert, konfigurieren Sie Windows XP nicht als Domänenmitglied. Schließlich ist ein Kerberos-Bereich keine Windows-Domäne. Windows sollte einfach so konfiguriert werden, dass es als Teil einer Arbeitsgruppe fungiert.

Hinzufügen eines KDC

Als erstes müssen wir Windows über einen oder mehrere verfügbare KDC-Server benachrichtigen. Öffnen Sie dazu ein Eingabeaufforderungsfenster und geben Sie die folgenden Befehle ein:

Ksetup / addkdc REALM.CONTOSO.COM kdc.realm.contoso.com
Ksetup / addkdc REALM.CONTOSO.COM kdc-master.realm.contoso.com

Diese Befehle konfigurieren Windows so, dass zwei verschiedene KDCs für Realm.contoso.com verwendet werden. Sie müssen Realm.contoso.com durch den Namen des Realms ersetzen, an den Sie eine Verbindung herstellen.

Hinzufügen eines Passwortservers

Wenn der Kerberos-Bereich, in dem sich die Workstation authentifiziert, das Kerberos-Kennwortänderungsprotokoll unterstützt, können Sie Windows XP für die Verwendung eines Kerberos-Kennwortservers konfigurieren. Geben Sie dazu den folgenden Befehl ein:

Ksetup / addkpasswd REALM.CONTOSO.COM kdc-master.realm.contoso.com

Zuordnen eines Benutzerkontos

Wenn ein Benutzer nicht in einer Domäne angemeldet ist, verwendet Windows XP lokale Benutzerkonten. Da ein Kerberos-Realm keine Domäne ist, müssen sich Benutzer mit den lokalen Benutzerkonten der Workstation anmelden. Sie müssen eine Zuordnung erstellen, damit Windows versteht, dass ein lokales Benutzerkonto mit einem Konto im Kerberos-Bereich verknüpft ist.

Angenommen, mein lokaler Benutzerkontoname war Brien und mein Konto im Kerberos-Bereich war [email protected] Ich müsste eine Zuordnung erstellen, die Windows mitteilt, dass diese beiden Konten als ein und dasselbe behandelt werden sollen. Dazu würde ich den folgenden Befehl eingeben:

Ksetup / Mapuser [email protected] Brien

Nachdem Sie alle Befehle eingegeben haben, müssen Sie den Windows-Computer neu starten, damit die Änderungen wirksam werden.

Es ist nicht sehr schwierig, Windows XP für die Authentifizierung bei einem Drittanbieter zu konfigurieren. Beachten Sie, dass Windows in der Lage sein muss, den Bereich zu lokalisieren, bevor die Authentifizierung funktionieren kann. Wenn Sie Probleme haben, die Kerberos-Authentifizierung von Drittanbietern zum Laufen zu bringen, verwenden Sie den Befehl NSLOOKUP, um sicherzustellen, dass Windows auf die DNS-Einträge zugreifen kann, die den Servern im Kerberos-Bereich zugeordnet sind.

Über den Autor: Brien M. Posey, MCSE, ist ein Microsoft Most Valuable Professional für seine Arbeit mit Windows 2000 Server und IIS. Er war CIO einer landesweiten Kette von Krankenhäusern und war einst für die IT-Sicherheit von Fort Knox verantwortlich. Als freiberuflicher technischer Redakteur hat er für Microsoft, TechTarget, CNET, ZDNet, MSD2D, Relevant Technologies und andere Technologieunternehmen geschrieben.

Similar Posts

Leave a Reply