Az AD hitelesítés két fő protokollt használ: Kerberos és NTLM
NTLM
A tanúsítási folyamat a következő:
- Az ügyfél helyben generál egy NTLM hash-et, és az érték a felhasználó jelszavának hash értéke.
- Az ügyfél elküldi a felhasználónevet az alkalmazásszervernek.
- Az alkalmazásszerver véletlenszerű értéket generál a kliensre, amit általában nonce-nak vagy kihívásnak neveznek.
- Az ügyfél titkosítja a nonce-t NTLM hash-tel, és elküldi az alkalmazásszervernek.
- Miután megkapta, az alkalmazásszerver elküldi az AD szervernek a felhasználónévvel és a nonce-nal együtt.
- Az AD NTLM hash-et generál a felhasználó jelszavának alapján, titkosítja a nonce-t, majd összehasonlítja az ügyfél üzenetét.
- Ha az értékek megegyeznek, a hitelesítés átmegy, ha eltérnek, a hitelesítés megbukik.
Kerberos
Kulcskifejezések:
- KDC: Kulcselosztó Központ, amely két szolgáltatást nyújt: Hitelesítési Szolgáltatást (AS) és Jegyadó Szolgáltatást (TGS). A domain egy KDC számára krbtgt nevű domainfiókot generál, a TGT pedig a jelszót használja a titkosításhoz és a visszafejtéshez. Amikor egy domain felhasználó először lép hozzá, azt szeretné, ha az AS hitelesítsen, és a továbbítás után az AS kéri, hogy adjon egy jegyet (TGT) a domainfelhasználónak.
- SPN:Service Principal Name。 A felhasználói fiókokon túl az AD fiókoknak is vannak szolgáltatási fiókjai. Az alkalmazáshoz egy szolgáltatási fiók is kapcsolódik hozzá, amely megkönnyíti az alkalmazás számára a szerver erőforrásokhoz való hozzáférést, mint például Exchange, SQL, IIS stb. Az SPN egy szolgáltatás, amelyet az alkalmazás által engedélyezett szolgáltatás AD-ben lévő szolgáltatásfiókhoz társítanak.
Tanúsítási folyamat:
1. Amikor egy domain felhasználó bejelentkezik, egy AS kérést (AS_REQ) küldenek a DC-nek, amely egy titkosított időbélyeget tartalmaz, amelyet a felhasználó jelszó hash-jével és felhasználónevével titkosítnak.
2. A kérés megérkezése után a DC a felhasználó felhasználónevét és jelszó hash-jét használja a titkosítás felbontásához. A DC egy AS választ (AS_REP) válaszol az ügyfélnek, amely tartalmaz egy session kulcsot és egy TGT-t (Ticket Granting Ticket). A session kulcsot a felhasználó jelszó hash-jével titkosítják. A TGT tartalmazza a csoporttagságot, a domaint, az időbélyeget, az ügyfél IP-címet és a session kulcsot. A TGT is titkosított, a KDC szolgáltatásfiók jelszóval titkosítva, és az ügyfél nem tudja dekódolni. (A TGT alapértelmezés szerint 10 óráig érvényes, és az utána következő frissítések nem követik meg a felhasználónak a jelszó újraírását)
3. Amikor egy felhasználó kér egy erőforrást a domainben, egy Ticket Granting Service Request (TGS_REQ) kerül el, beleértve a felhasználónevet, időbélyeget, TGT-t és SPN-t. Az időbélyegeket és felhasználóneveket egy session kulminlyel titkosítják.
4. A kérés megérkezése után a KDC először megállapítja, van-e SPN a kérésben, majd dekódolja a TGT-t, kihúzza a munkamenetkulcsot és az időbélyeget a TGT-ben, majd a TGT-ben lévő munkamenetkulcsot használja a titkosított felhasználónév és időbélyeg dekódolásához. Végezz több ellenőrzést:
(1) A TGT által dekódolt időbélyegnek érvényesnek kell lennie. (Ha visszajátszás támadás történik, az időbélyeg érvénytelen.) )
(2) Hogy a TGT-ben szereplő felhasználónév összhangban van-e a kérésben szereplő felhasználónévvel.
(3) Hogy a TGT-ben szereplő IP-cím megegyezik-e a kérésben szereplő IP-címmel.
A csekk válaszol az ügyfél Ticket Granting ServiceReply(TGS_REP) címére, amely tartalmazza az SPN által engedélyezett hozzáférést, az új munkamenetkulcsot az ügyfél és az SPN közötti hozzáféréshez, valamint az új Service Ticket szolgáltatási jegyet (beleértve az új session kulcsot, felhasználónevet és felhasználói csoportot). Mind az engedélyezett SPN, mind az SPN-hez hozzáférő session kulcs titkosítva van a TGT-ben található session kulmánnyal. A szolgáltatási jegyet a megfelelő SPN szolgáltatási fiók jelszóval titkosítják.
1. A fenti folyamat után a felhasználó megszerezte az alkalmazási szolgáltatáshoz kapcsolódó munkamenetkulcsot és szolgáltatásjegyet. A felhasználó egy alkalmazáskérést (AP_REQ) küld az alkalmazásszolgáltatásnak, amely tartalmazza a felhasználónevet és időbélyeget, és egy munkamenetkulcs titkosítva van.
2. Az alkalmazásszolgáltatás a szolgáltatásfiók jelszó hash-ét használja a szolgáltatásjegy dekódolására, valamint a felhasználó, a felhasználói csoport és a munkamenetkulcs kinyerésére. A AP_REQ böngészőben a lekódolt session kulmával dekódolni a felhasználónevet és az időbélyeget. AP_REQ Ha igen, a kérést elfogadják, és az alkalmazásszolgáltatás a szolgáltatási jegyben szereplő felhasználói csoport adatai alapján hozzárendeli a jogosultságokat, így a felhasználó hozzáférhet a kért szolgáltatáshoz.
Eredeti cím:A hiperlink bejelentkezés látható.
|
Közzétéve 2023. 08. 22. 19:16:28
|
|
|
|
