Центр розподілу ключів KDC
База даних облікових записів
База даних, яка необхідна службі KDC для отримання інформації щодо абонентів безпеки, зберігається в каталозі Active Directory. Кожен абонент тут представлений у вигляді облікового запису. Криптографічні ключі, які застосовуються для зв'язку з користувачем, комп'ютером або службою, зберігаються у вигляді атрибутів об'єкта облікового запису конкретного абонента безпеки.
політика Kerberos
У політиці Kerberos передбачаються:
делегування аутентифікації
Як уже зазначалося, політика Kerberos для домену може вирішувати делеговану аутентифікацію методом переданих квитків, проте такий дозвіл зовсім не обов'язково має поширюватися на всіх користувачів або на всі комп'ютери. Скориставшись атрибутом облікового запису конкретного користувача, адміністратор може заборонити передачу його посвідчення з одного сервера на інший. Крім того, можна заборонити передачу посвідчення будь-якого користувача, встановивши відповідний атрибут в облікового запису будь-якого комп'ютера. При необхідності можна також заборонити делегування аутентифікації всім користувачам або всім комп'ютерам, що входять в організаційний підрозділ всередині домену.
попередня аутентифікація
За замовчуванням служба KDC вимагає проведення попередньої аутентифікації всіх облікових записів, що гранично ускладнює атаки з підбором паролів. Однак така функція може викликати проблеми сумісності з іншими реалізаціями протоколу Kerberos, тому передбачена можливість її відключення в окремих облікових записах.
Постачальник підтримки безпеки Kerberos
Після того, як підсистема LSA створить контекст безпеки для інтерактивного користувача, може знадобитися ще один екземпляр Kerberos SSP. Його завантаження виробляє процес, запущений в призначеному для користувача контексті безпеки, щоб забезпечити підтримку підписи і завірення повідомлень.
Кеш-пам'ять посвідчень
Управління кеш-пам'яттю посвідчень покладено на Kerberos SSP, який працює в контексті безпеки підсистеми LSA. Кожен раз, коли виникає необхідність в отриманні квитка або ключа, або в їх оновленні, LSA звертається до Kerberos SSP, який і виконує це завдання.
У підсистемі LSA зберігаються також копії хешів паролів інтерактивних користувачів. Якщо в ході сеансу закінчується термін дії користувача квитка TGT, Kerberos SSP використовує цю копію для отримання нового квитка. Це робиться у фоновому режимі, без припинення сеансу. Пароль тут знаходиться в тимчасовому зберіганні, його локальна копія знищується після припинення сеансу роботи користувача.
По іншому йде справа з хешамі паролів для служб і комп'ютерів. Як і в попередніх версіях Windows NT, вони зберігаються в безпечної області системного реєстру комп'ютера. Реєстр використовується також для зберігання хешів паролів для облікових записів користувачів на локальних системах, однак локальні облікові записи придатні виключно для доступу до комп'ютерів, що працюють в автономному режимі, але не через мережу.
Дозвіл імен DNS
транспорт IP
UDP відноситься до транспортних протоколів, які не встановлює логічного з'єднання, тому його застосування цілком виправдано в тих випадках, коли організація підключення передбачає попередній обмін службовими повідомленнями. Цей протокол добре підходить і там, де обмін обмежується єдиним запитом і єдиною відповіддю на нього, як це має місце в сеансах зв'язку між клієнтом і службою KDC. Важливо тільки, щоб кожне таке повідомлення повністю вміщувалося в одну дейтаграмму. Але найкращі результати застосування протоколу UDP дає в тих випадках, коли дейтаграми передаються як єдине ціле, тобто, кожна з них повністю вписується в один кадр. Ємність ж кадру залежить від середовища передачi. У кадрі Ethernet, наприклад, максимальний розмір переданого блоку даних (MTU) дорівнює 1 500 октетів. Отже, в фізичних мережах Ethernet повідомлення Kerberos, що відправляються у вигляді дейтаграм, можуть містити до 1 500 октетів даних.