Κάθε κανόνας καθορίζει μια λίστα μεθόδων ελέγχου ταυτότητας. Κάθε μέθοδος ελέγχου ταυτότητας καθορίζει τις απαιτήσεις σχετικά με τον τρόπο επιβεβαίωσης των ταυτοτήτων για τις επικοινωνίες, στις οποίες εφαρμόζεται ο συσχετισμένος κανόνας. Οι μέθοδοι επιχειρούνται από κάθε ομότιμο υπολογιστή με τη σειρά που έχουν στη λίστα. Οι δύο ομότιμοι υπολογιστές πρέπει να διαθέτουν τουλάχιστον μία κοινή μέθοδο ελέγχου ταυτότητας, διαφορετικά η επικοινωνία θα αποτύχει. Η δημιουργία πολλαπλών μεθόδων ελέγχου ταυτότητας αυξάνει τις πιθανότητες εύρεσης μιας κοινής μεθόδου επικοινωνίας μεταξύ των δύο υπολογιστών.

Σημείωση

Επίσης, η σειρά προτεραιότητας αυτών των μεθόδων είναι σημαντική, καθώς επιχειρείται μόνον η πρώτη κοινή μέθοδος. Εάν αποτύχει στον έλεγχο ταυτότητας, δεν επιχειρούνται άλλες μέθοδοι της λίστας, ακόμη κι αν αυτές οι μέθοδοι θα μπορούσαν να είχαν επιτύχει.

Μέθοδοι ελέγχου ταυτότητας

Μεταξύ ενός ζεύγους υπολογιστών μπορεί να χρησιμοποιηθεί μόνον μια μέθοδος ελέγχου ταυτότητας, ανεξάρτητα από τον αριθμών των μεθόδων που έχουν ρυθμιστεί. Εάν εφαρμόζετε πολλούς κανόνες για ένα συγκεκριμένο ζεύγος υπολογιστών, πρέπει να ρυθμίσετε τις παραμέτρους της λίστας μεθόδων ελέγχου γι' αυτούς τους κανόνες, ώστε το ζεύγος να μπορεί να χρησιμοποιεί την ίδια μέθοδο. Για παράδειγμα, εάν κάποιος κανόνας ζεύγους υπολογιστών καθορίζει μόνον το Kerberos ως μέθοδο ελέγχου ταυτότητας και φιλτράρει μόνον δεδομένα TCP, ενώ κάποιος άλλος κανόνας καθορίζει μόνον πιστοποιητικά ελέγχου ταυτότητας και φιλτράρει μόνον δεδομένα UDP, τότε ο έλεγχος ταυτότητας θα αποτύχει. Οι μέθοδοι ελέγχου ταυτότητας ρυθμίζονται από την καρτέλα Μέθοδοι ελέγχου ταυτότητας των φύλλων ιδιοτήτων Επεξεργασία ιδιοτήτων κανόνα ή Προσθήκη ιδιοτήτων κανόνα.

  • Το πρωτόκολλο ελέγχου ταυτότητας της έκδοσης 5 του Kerberos είναι η προεπιλεγμένη τεχνολογία ελέγχου ταυτότητας. Αυτή η μέθοδος μπορεί να χρησιμοποιηθεί σε όλους τους υπολογιστές που εκτελούν το πρωτόκολλο ελέγχου ταυτότητας Kerberos V5 και ανήκουν στον ίδιο τομέα ή σε αξιόπιστους τομείς. Αυτή η μέθοδος είναι χρήσιμη για απομόνωση του τομέα με χρήση της ασφάλειας πρωτοκόλλου Internet (IPsec).

  • Σε περιπτώσεις πρόσβασης στο Internet, απομακρυσμένης πρόσβασης σε εταιρικούς πόρους, επικοινωνίας με εξωτερικούς συνεργάτες ή υπολογιστών που δεν εκτελούν το πρωτόκολλο ελέγχου ταυτότητας Kerberos V5, πρέπει να χρησιμοποιείται ένα πιστοποιητικό δημόσιου κλειδιού. Αυτό προϋποθέτει τη ρύθμιση μιας τουλάχιστον αξιόπιστης αρχής έκδοσης πιστοποιητικών (CA). Αυτή η έκδοση των Windows υποστηρίζει πιστοποιητικά X.509 Έκδοση 3, συμπεριλαμβανομένων των πιστοποιητικών CA που εκδίδονται από εμπορικές αρχές έκδοσης.

  • Μπορείτε να καθορίσετε ένα ήδη κοινόχρηστο κλειδί. Δηλαδή ένα κοινόχρηστο, απόρρητο κλειδί που συμφωνήθηκε εκ των προτέρων από δύο χρήστες. Είναι εύχρηστο και δεν απαιτεί από τον πελάτη να εκτελέσει το πρωτόκολλο ελέγχου ταυτότητας Kerberos V5 ή να διαθέτει πιστοποιητικό δημόσιου κλειδιού. Για να χρησιμοποιήσουν αυτό το ήδη κοινόχρηστο κλειδί, τα δύο μέρη πρέπει να ρυθμίσουν με μη αυτόματο τρόπο τις παραμέτρους ασφαλείας IP. Πρόκειται για μια απλή μέθοδο ελέγχου ταυτότητας σε μεμονωμένους υπολογιστές ή οποιονδήποτε υπολογιστή δεν χρησιμοποιεί το πρωτόκολλο ελέγχου ταυτότητας Kerberos V5. Το ήδη κοινόχρηστο κλειδί προορίζεται μόνον για προστασία ελέγχου ταυτότητας και δεν χρησιμοποιείται για την εξασφάλιση της ακεραιότητας ή την κρυπτογράφηση των δεδομένων.

Σημαντικό

Το ήδη κοινόχρηστο κλειδί αποθηκεύεται σε αρχείο απλού κειμένου και δεν θεωρείται μέθοδος ασφαλείας. Τα ήδη κοινόχρηστα κλειδιά πρέπει να χρησιμοποιούνται μόνον δοκιμαστικά.

Βλ. επίσης