? Du kan ikke \\ " skabe \\ " et privilegium Attribut certifikat. The Privilege Attribut Certificate (PAC ) er en funktion påberåbes inden for Windows sikkerhedssystemet , når du logger på et system udnytter Kerberos . Den Windows 2008 Kerberos implementering af autentificering strengt bruger PAC og ingen anden . Kerberos er et netværk authentication protocol , der bruger kryptografi til at generere de certifikater via et dobbelt godkendelsessystem for brugere og servere. Kerberos Fakta
Dette er et netværk authentication protocol . Det fungerer ved hjælp af hemmelige nøgle-kryptering . Oprettet af Massachusetts Institute of Technology, eller MIT , er det frit tilgængelige ved at besøge Web.MIT.edu /Kerberos . Kerberos kryptering fungerer ved at kryptere al kommunikation mellem serveren og klienten. Den etablerer den krypterede session efter at kunden godkender mod server med et login og password . Den specielt behandlet beregnede nøgle er et binært tal . Den anvendte proces koder eller krypterer al kommunikation , efter at brugeren autentificerer . Kerberos løber gennem hjælp af en nøgle (KDC ) . Denne KDC udsteder midlertidige session certifikater , billetter og sessionnøgler til dem, der har et Active Directory-domæne . Kerberos kører inden for hver af de domæner , som controlleren eller den del af Active Directory Domain Services (Tilføjer ) .
PAC Fakta
Windows 2008 Kerberos bruger PAC strengt med sin dobbelte godkendelsessystem . Kerberos er en billet baseret system, som skaber en krypteret , sikker forbindelse , mens du bruger billetterne. PAC certifikat overfører til kunden via Kerberos KDC . Når kunden godkender eller logger på , Kerberos udsteder en billet Tildeling Ticket ( TGT ), der giver for fremtidig godkendelse under den samme session. TGT derefter giver adgang til specifikke applikationer og /eller ressourcer. PAC , som indeholder brugeroplysninger, såsom brugerens Sikkerhed ID , gruppe medlemskaber samt hans rettigheder på domænet . Fordi det indeholder også data for dem, der godkendes med det princip , eller Kerberos , antallet af grupper , en person kan tilhøre bør begrænses. Disse egenskaber er specifikke for Windows Server -platformen, PAC gælder kun for Windows PAC og Kerberos . PAC certifikat kræver en vis digitalt certifikat , som har brug for en signatur er knyttet til det at forhindre disse typer af angreb . Det faktisk forhindrer mod udvidelse af rettigheder angreb.
PAC Creation
Kerberos systemet opretter PAC , når en bruger godkender på domænet eller netværk. Dette er kun i Windows 2000 Kerberos -system , som PAC stores Windows-domænet brugerspecifikke oplysninger . Andre Kerberos -systemer bruger de samme metoder, selv om de udnytter forskellige certifikatsordningerne . Hvis du er en systemadministrator , kan du angive bestemte egenskaber PAC dog; serveren sikrer og skaber den faktiske billet , der indeholder PAC til at beskytte oplysningerne . Kryptering af legitimationsoplysninger oplysninger inden for en PAC muliggør sikker overførsel af disse legitimationsoplysninger under en PKINIT logon angreb, i henhold til Kerberos site.