Tämä artikkeli on konekäännöksen peiliartikkeli, klikkaa tästä siirtyäksesi alkuperäiseen artikkeliin.

Architect_Programmer_Code Maatalousverkosto»Arkkitehti Muut teknologiat Windows/Linux Windows AD -tunnistautuminen: Kerberos ja NTLM
Näkymä: 3036|Vastaus: 0

[ikkunat] Windows AD -tunnistautuminen: Kerberos ja NTLM

[Kopioi linkki]
Julkaistu 22.8.2023 19.16.28 | | | |
AD-todennus käyttää kahta pääprotokollaa: Kerberosta ja NTLM:ää

NTLM



Sertifiointiprosessi on seuraava:

  • Asiakas generoi NTLM-tiivisteen paikallisesti, ja arvo on käyttäjän salasanan hajautusarvo.
  • Asiakas lähettää käyttäjätunnuksen sovelluspalvelimelle.
  • Sovelluspalvelin tuottaa satunnaisen arvon asiakkaalle, jota yleensä kutsutaan nonceksi tai haasteeksi.
  • asiakas salaa NNONCEn NTLM-tiivisteellä ja lähettää sen sovelluspalvelimelle.
  • Saatuaan sen sovelluspalvelin lähettää sen AD-palvelimelle yhdessä käyttäjätunnuksen ja noncen kanssa.
  • AD luo NTLM-tiivisteen käyttäjän salasanan perusteella, salaa noncen ja vertaa sitten asiakkaan viestiä.
  • Jos arvot ovat samat, todennus menee läpi, ja jos ne ovat erilaisia, todennus epäonnistuu.


Kerberos



Keskeiset termit:

  • KDC: Avainten jakelukeskus, joka tarjoaa kaksi palvelua: Authentication Service (AS) ja Ticket-Granting Service (TGS). Domain luo KDC:lle domain-tilin nimeltä krbtgt, ja TGT käyttää salasanaa salaukseen ja purkuun. Kun toimialueen käyttäjä käyttää sitä ensimmäistä kertaa, hän haluaa AS:n tunnistautuvan, ja syötön jälkeen AS pyytää TGS:ää toimittamaan tiketin (TGT) domainin käyttäjälle.
  • SPN:Service Principal Name。 Käyttäjätilien lisäksi AD-tileillä on myös palvelutilejä. Sovellukseen liittyy myös palvelutili, joka helpottaa sovelluksen pääsyä palvelinresursseihin, kuten Exchangeen, SQL:ään, IIS:ään jne. SPN on palvelu, jota käytetään liittämään sovelluksen mahdollistama palvelu AD:n palvelutiliin.


Sertifiointiprosessi:

1. Kun verkkotunnuksen käyttäjä kirjautuu sisään, DC:lle lähetetään AS-pyyntö (AS_REQ), joka sisältää salatun aikaleiman, joka on salattu käyttäjän salasanan tiivisteellä ja käyttäjätunnuksella.

2. Pyynnön vastaanottamisen jälkeen DC käyttää käyttäjän käyttäjätunnuksen ja salasanan tiivistettä purkaakseen sen. DC vastaa asiakkaalle AS-vastaukseen (AS_REP), joka sisältää istuntoavaimen ja TGT:n (Ticket Granting Ticket). Istuntoavain on salattu käyttäjän salasanan tiivisteellä. TGT sisältää ryhmän jäsenyyden, verkkotunnuksen, aikaleiman, asiakas-IP:n ja istuntoavaimen. TGT on myös salattu, salattu KDC-palvelutilin salasanalla, eikä asiakas voi purkaa sitä. (TGT on oletuksena voimassa 10 tuntia, ja sen jälkeen tapahtuvat päivitykset eivät vaadi käyttäjältä salasanan uudelleensyöttöä)

3. Kun käyttäjä pyytää resurssia verkkotunnuksesta, lähetetään Ticket Granting Service Request (TGS_REQ), joka sisältää käyttäjätunnuksen, aikaleiman, TGT:n ja SPN:n. Aikaleimat ja käyttäjätunnukset on salattu istuntoavaimella.

4. Pyynnön vastaanottamisen jälkeen KDC selvittää ensin, onko pyynnössä SPN, purkaa TGT:n, purkaa TGT:n, purkaa istuntoavaimen ja aikaleiman TGT:ssä ja käyttää TGT:n istuntoavainta salatun käyttäjätunnuksen ja aikaleiman purkamiseen. Suorita useita tarkistuksia:

(1) TGT:n purkaman aikaleiman on oltava pätevä. (Jos uusintahyökkäys tapahtuu, aikaleima on mitätön.) )

(2) Onko TGT:n käyttäjänimi yhdenmukainen pyynnön käyttäjänimen kanssa.

(3) Onko TGT:n IP-osoite sama kuin pyynnön IP-osoite.

Tarkistus vastaa asiakkaan Ticket Granting ServiceReply(TGS_REP) -lomakkeeseen, joka sisältää SPN:n valtuuttaman pääsyn, uuden istuntoavaimen asiakkaan ja SPN:n väliseen pääsyyn sekä uuden Service Ticket -palvelutiketin (mukaan lukien uusi istuntoavain, käyttäjänimi ja käyttäjäryhmä). Sekä SPN:n valtuutettu että SPN:ään pääsevä istuntoavain on salattu TGT:n istuntoavaimella. Palvelupyyntö on salattu vastaavan SPN-palvelutilin salasanalla.

1. Yllä mainitun prosessin jälkeen käyttäjä on saanut istuntoavaimen ja palvelupyynnön, joka liittyy sovelluspalveluun. Käyttäjä lähettää sovelluspyynnön (AP_REQ) sovelluspalvelulle, joka sisältää käyttäjänimen ja aikaleiman, ja on salattu istuntoavaimella.

2. Sovelluspalvelu käyttää palvelutilin salasanan tiivistettä palvelutiketin purkamiseen ja käyttäjän, käyttäjäryhmän sekä istuntoavaimen purkamiseen. Pura käyttäjätunnus ja aikaleima AP_REQ puretulla istuntoavaimella. AP_REQ Jos näin on, pyyntö hyväksytään, ja sovelluspalvelu myöntää käyttöoikeudet käyttäjäryhmän tietojen perusteella palvelupyynnössä, jolloin käyttäjä pääsee käsiksi pyydettyyn palveluun.

Alkuperäinen osoite:Hyperlinkin kirjautuminen on näkyvissä.





Edellinen:Windows Edge -selain avaa kaatumisratkaisun IE:llä
Seuraava:DNS-over-HTTPS ja DNS-over-TLS verkkotunnusten ratkaisuun

Aiheeseen liittyvät julkaisut
Vastuuvapauslauseke:
Kaikki Code Farmer Networkin julkaisemat ohjelmistot, ohjelmamateriaalit tai artikkelit ovat tarkoitettu vain oppimis- ja tutkimustarkoituksiin; Yllä mainittua sisältöä ei saa käyttää kaupallisiin tai laittomiin tarkoituksiin, muuten käyttäjät joutuvat kantamaan kaikki seuraukset. Tämän sivuston tiedot ovat peräisin internetistä, eikä tekijänoikeuskiistat liity tähän sivustoon. Sinun tulee poistaa yllä oleva sisältö kokonaan tietokoneeltasi 24 tunnin kuluessa lataamisesta. Jos pidät ohjelmasta, tue aitoa ohjelmistoa, osta rekisteröityminen ja hanki parempia aitoja palveluita. Jos rikkomuksia ilmenee, ota meihin yhteyttä sähköpostitse.
Mail To:help@itsvse.com