Denne artikel er en spejling af maskinoversættelse, klik venligst her for at springe til den oprindelige artikel.

Architect_Programmer_Code Landbrugsnetværk»Arkitekt Andre teknologier Windows/Linux Windows AD-autentificering: Kerberos og NTLM
Udsigt: 3036|Svar: 0

[vinduer] Windows AD-autentificering: Kerberos og NTLM

[Kopier link]
Opslået på 22/08/2023 19.16.28 | | | |
AD-autentificering bruger to hovedprotokoller: Kerberos og NTLM

NTLM



Certificeringsprocessen er som følger:

  • Klienten genererer en NTLM-hash lokalt, og værdien er hashværdien for brugerens adgangskode.
  • Klienten sender brugernavnet til applikationsserveren.
  • Applikationsserveren genererer en tilfældig værdi for klienten, som normalt kaldes nonce eller udfordring.
  • klienten krypterer nonce'en med NTLM-hash og sender den til applikationsserveren.
  • Efter modtagelse sender applikationsserveren den til AD-serveren sammen med brugernavnet og nonce.
  • AD genererer en NTLM-hash baseret på brugerens adgangskode, krypterer nonce'en og sammenligner derefter klientens besked.
  • Hvis værdierne er de samme, går autentificeringen igennem, og hvis de er forskellige, fejler autentificeringen.


Kerberos



Nøglebegreber:

  • KDC: Key Distribution Center, som tilbyder to tjenester: Authentication Service (AS) og Ticket-Granting Service (TGS). Domænet genererer en domænekonto kaldet krbtgt for KDC, og TGT bruger adgangskoden til kryptering og dekryptering. Når en domænebruger tilgår for første gang, ønsker de, at AS autentificerer, og efter at have sendt den, anmoder AS'en om TGS for at levere en ticket (TGT) til domænebrugeren.
  • SPN:Service Principal Name。 Ud over brugerkonti har AD-konti også servicekonti. Applikationen vil også have en servicekonto tilknyttet, som gør det lettere for applikationen at få adgang til serverressourcer som Exchange, SQL, IIS osv. SPN er en tjeneste, der bruges til at tilknytte tjenesten, som applikationen aktiverer, med servicekontoen i AD.


Certificeringsproces:

1. Når en domænebruger logger ind, sendes en AS-anmodning (AS_REQ) til DC'en, som indeholder et krypteret tidsstempel, der er krypteret med brugerens adgangskodehash og brugernavn.

2. Efter modtagelse af anmodningen bruger DC'en brugerens brugernavn- og adgangskodehash til at dekryptere den. DC'en svarer et AS-svar (AS_REP) til klienten, som inkluderer en sessionsnøgle og en TGT (Ticket Granting Ticket). Sessionsnøglen krypteres med brugerens adgangskodehash. TGT'en indeholder gruppemedlemskab, domæne, tidsstempel, klient-IP og sessionsnøgle. TGT er også krypteret, krypteret med KDC-servicekontoens adgangskode, og klienten kan ikke dekryptere det. (TGT er som standard gyldig i 10 timer, og opdateringer, der sker derefter, kræver ikke, at brugeren indtaster adgangskoden igen)

3. Når en bruger anmoder om en ressource i domænet, sendes en Ticket Granting Service Request (TGS_REQ), inklusive brugernavn, tidsstempel, TGT og SPN. Tidsstempler og brugernavne krypteres med en sessionsnøgle.

4. Efter modtagelse af anmodningen afgør KDC først, om der er et SPN i anmodningen, dekrypterer derefter TGT'en, udtrækker sessionsnøglen og tidsstemplet i TGT, og bruger sessionsnøglen i TGT'en til at dekryptere det krypterede brugernavn og tidsstempel. Udfør flere kontroller:

(1) Tidsstemplet, som TGT dekrypterer, skal være gyldigt. (Hvis der sker et genafspilningsangreb, er tidsstemplet ugyldigt.) )

(2) Om brugernavnet i TGT'en er i overensstemmelse med brugernavnet i anmodningen.

(3) Om IP-adressen i TGT'en er den samme som IP-adressen i anmodningen.

Tjekket vil besvare klientens Ticket Granting ServiceReply(TGS_REP), som indeholder den autoriserede adgang til SPN, den nye sessionsnøgle brugt til adgang mellem klienten og SPN'en, samt den nye Service Ticket serviceticket (inklusive den nye sessionsnøgle, brugernavn og brugergruppe). Både den autoriserede SPN og sessionsnøglen, der tilgår SPN, er krypteret med sessionsnøglen i TGT. Serviceticketen krypteres med adgangskoden til den tilsvarende SPN-servicekonto.

1. Efter ovenstående proces har brugeren opnået sessionnøglen og serviceticketen relateret til applikationstjenesten. Brugeren sender en applikationsanmodning (AP_REQ) til applikationstjenesten, som indeholder brugernavnet og tidsstempelet og er krypteret med en sessionsnøgle.

2. Applikationstjenesten bruger servicekontoens adgangskodehash til at dekryptere serviceticketen og udtrække bruger-, brugergruppen og sessionsnøglen. Dekrypter brugernavnet og tidsstemplet i AP_REQ med den dekrypterede sessionsnøgle. AP_REQ Hvis det er tilfældet, accepteres anmodningen, og applikationstjenesten tildeler tilladelser baseret på brugergruppeoplysningerne i serviceticketen, hvorefter brugeren kan få adgang til den anmodede service.

Original adresse:Hyperlink-login er synlig.





Tidligere:Windows Edge-browseren åbner crash-løsning med IE
Næste:DNS-over-HTTPS og DNS-over-TLS til domænenavnsopløsning

Relaterede indlæg
Ansvarsfraskrivelse:
Al software, programmeringsmaterialer eller artikler udgivet af Code Farmer Network er kun til lærings- og forskningsformål; Ovenstående indhold må ikke bruges til kommercielle eller ulovlige formål, ellers skal brugerne bære alle konsekvenser. Oplysningerne på dette site kommer fra internettet, og ophavsretstvister har intet med dette site at gøre. Du skal slette ovenstående indhold fuldstændigt fra din computer inden for 24 timer efter download. Hvis du kan lide programmet, så understøt venligst ægte software, køb registrering og få bedre ægte tjenester. Hvis der er nogen overtrædelse, bedes du kontakte os via e-mail.
Mail To:help@itsvse.com