Ο έλεγχος ταυτότητας AD χρησιμοποιεί δύο κύρια πρωτόκολλα: Kerberos και NTLM
ΝΤΛΜ
Η διαδικασία πιστοποίησης έχει ως εξής:
- Ο υπολογιστής-πελάτης δημιουργεί έναν κατακερματισμό NTLM τοπικά και η τιμή είναι η τιμή κατακερματισμού του κωδικού πρόσβασης του χρήστη.
- Ο πελάτης στέλνει το όνομα χρήστη στον διακομιστή εφαρμογών.
- Ο διακομιστής εφαρμογών δημιουργεί μια τυχαία τιμή για τον πελάτη, η οποία συνήθως ονομάζεται nonce ή challenge.
- Ο πελάτης κρυπτογραφεί το nonce με κατακερματισμό NTLM και το στέλνει στον διακομιστή εφαρμογών.
- Αφού το λάβει, ο διακομιστής εφαρμογών το στέλνει στον διακομιστή AD μαζί με το όνομα χρήστη και το nonce.
- Το AD δημιουργεί έναν κατακερματισμό NTLM με βάση τον κωδικό πρόσβασης του χρήστη, κρυπτογραφεί το nonce και, στη συνέχεια, συγκρίνει το μήνυμα του πελάτη.
- Εάν οι τιμές είναι ίδιες, ο έλεγχος ταυτότητας περνά και εάν είναι διαφορετικές, ο έλεγχος ταυτότητας αποτυγχάνει.
Κέρβερος
Βασικοί όροι:
- KDC: Key Distribution Center, το οποίο παρέχει δύο υπηρεσίες: Υπηρεσία ελέγχου ταυτότητας (AS) και Υπηρεσία χορήγησης εισιτηρίων (TGS). Ο τομέας δημιουργεί έναν λογαριασμό τομέα που ονομάζεται krbtgt για KDC και το TGT χρησιμοποιεί τον κωδικό πρόσβασης για κρυπτογράφηση και αποκρυπτογράφηση. Όταν ένας χρήστης τομέα αποκτά πρόσβαση για πρώτη φορά, θέλει το AS να πραγματοποιήσει έλεγχο ταυτότητας και αφού περάσει, το AS ζητά από το TGS να παράσχει ένα εισιτήριο (TGT) στον χρήστη τομέα.
- SPN:Κύριο όνομα υπηρεσίας。 Εκτός από τους λογαριασμούς χρηστών, οι λογαριασμοί AD έχουν επίσης λογαριασμούς υπηρεσίας. Η εφαρμογή θα έχει επίσης έναν λογαριασμό υπηρεσίας που θα σχετίζεται με αυτήν, ο οποίος θα διευκολύνει την εφαρμογή να έχει πρόσβαση σε πόρους διακομιστή, όπως exchange, SQL, IIS κ.λπ. Το SPN είναι μια υπηρεσία που χρησιμοποιείται για τη συσχέτιση της υπηρεσίας, που ενεργοποιείται από την εφαρμογή, με τον λογαριασμό υπηρεσίας στο AD.
Διαδικασία πιστοποίησης:
1. Όταν ένας χρήστης τομέα συνδέεται, αποστέλλεται ένα αίτημα AS (AS_REQ) στον ελεγκτή τομέα, το οποίο περιέχει μια κρυπτογραφημένη χρονική σήμανση που κρυπτογραφείται με τον κατακερματισμό του κωδικού πρόσβασης και το όνομα χρήστη του χρήστη.
2. Μετά τη λήψη του αιτήματος, το DC χρησιμοποιεί το όνομα χρήστη και τον κωδικό πρόσβασης του χρήστη για να το αποκρυπτογραφήσει. Ο ελεγκτής τομέα απαντά σε μια απάντηση AS (AS_REP) στον πελάτη, η οποία περιλαμβάνει ένα κλειδί συνεδρίας και ένα TGT (Ticket Grant Ticket). Το κλειδί συνεδρίας κρυπτογραφείται με τον κατακερματισμό του κωδικού πρόσβασης του χρήστη. Το TGT περιέχει την ιδιότητα μέλους ομάδας, τον τομέα, τη χρονική σήμανση, την IP του πελάτη και το κλειδί περιόδου λειτουργίας. Το TGT είναι επίσης κρυπτογραφημένο, κρυπτογραφημένο με τον κωδικό πρόσβασης του λογαριασμού υπηρεσίας KDC και ο πελάτης δεν μπορεί να το αποκρυπτογραφήσει. (Το TGT ισχύει για 10 ώρες από προεπιλογή και οι ενημερώσεις που πραγματοποιούνται μετά από αυτό δεν απαιτούν από τον χρήστη να εισαγάγει ξανά τον κωδικό πρόσβασης)
3. Όταν ένας χρήστης ζητά έναν πόρο στον τομέα, αποστέλλεται ένα αίτημα υπηρεσίας εκχώρησης εισιτηρίων (TGS_REQ), συμπεριλαμβανομένου του ονόματος χρήστη, της χρονικής σήμανσης, του TGT και του SPN. Οι χρονικές σημάνσεις και τα ονόματα χρήστη κρυπτογραφούνται με ένα κλειδί συνεδρίας.
4. Μετά τη λήψη του αιτήματος, το KDC προσδιορίζει πρώτα εάν υπάρχει SPN στο αίτημα, στη συνέχεια αποκρυπτογραφεί το TGT, εξάγει το κλειδί συνεδρίας και τη χρονική σήμανση στο TGT και χρησιμοποιεί το κλειδί συνεδρίας στο TGT για να αποκρυπτογραφήσει το κρυπτογραφημένο όνομα χρήστη και τη χρονική σήμανση. Εκτελέστε διάφορους ελέγχους:
(1) Η χρονοσφραγίδα που αποκρυπτογραφείται από την TGT πρέπει να είναι έγκυρη. (Εάν συμβεί μια επίθεση επανάληψης, η χρονική σήμανση δεν είναι έγκυρη.) )
(2) Εάν το όνομα χρήστη στο TGT είναι συνεπές με το όνομα χρήστη στο αίτημα.
(3) Εάν η διεύθυνση IP στο TGT είναι η ίδια με τη διεύθυνση IP στο αίτημα.
Ο έλεγχος θα απαντήσει στο Ticket Grant ServiceReply(TGS_REP) του πελάτη, το οποίο περιέχει την εξουσιοδοτημένη πρόσβαση SPN, το νέο κλειδί περιόδου λειτουργίας που χρησιμοποιείται για την πρόσβαση μεταξύ του πελάτη και του SPN και το νέο δελτίο υπηρεσίας Service Ticket (συμπεριλαμβανομένου του νέου κλειδιού περιόδου λειτουργίας, του ονόματος χρήστη και της ομάδας χρηστών). Τόσο το εξουσιοδοτημένο SPN όσο και το κλειδί συνεδρίας που αποκτά πρόσβαση στο SPN κρυπτογραφούνται με το κλειδί συνεδρίας στο TGT. Το δελτίο υπηρεσίας κρυπτογραφείται με τον κωδικό πρόσβασης του αντίστοιχου λογαριασμού υπηρεσίας SPN.
1. Μετά την παραπάνω διαδικασία, ο χρήστης έχει λάβει το κλειδί συνεδρίας και το εισιτήριο υπηρεσίας που σχετίζεται με την υπηρεσία εφαρμογής. Ο χρήστης στέλνει ένα αίτημα εφαρμογής (AP_REQ) στην υπηρεσία εφαρμογής, το οποίο περιέχει το όνομα χρήστη και τη χρονική σήμανση και κρυπτογραφείται με ένα κλειδί περιόδου λειτουργίας.
2. Η υπηρεσία εφαρμογής χρησιμοποιεί τον κατακερματισμό κωδικού πρόσβασης λογαριασμού υπηρεσίας για την αποκρυπτογράφηση του εισιτηρίου υπηρεσίας και την εξαγωγή του χρήστη, της ομάδας χρηστών και του κλειδιού περιόδου λειτουργίας. Αποκρυπτογραφήστε το όνομα χρήστη και τη χρονική σήμανση στο AP_REQ με το αποκρυπτογραφημένο κλειδί συνεδρίας. AP_REQ Εάν ναι, το αίτημα γίνεται αποδεκτό και η υπηρεσία εφαρμογής εκχωρεί δικαιώματα με βάση τις πληροφορίες της ομάδας χρηστών στο δελτίο υπηρεσίας και, στη συνέχεια, ο χρήστης μπορεί να αποκτήσει πρόσβαση στην υπηρεσία που ζητήθηκε.
Αρχική διεύθυνση:Η σύνδεση με υπερσύνδεσμο είναι ορατή.
|
Δημοσιεύτηκε στις 22/8/2023 7:16:28 μ.μ.
|
|
|
|
