Šis straipsnis yra veidrodinis mašininio vertimo straipsnis, spauskite čia norėdami pereiti prie originalaus straipsnio.

Architect_Programmer_Code žemės ūkio tinklas»Architektas Kitos technologijos "Windows" / "Linux" "Windows AD" autentifikavimas: "Kerberos" ir NTLM
Rodinys: 3036|Atsakyti: 0

[langai] "Windows AD" autentifikavimas: "Kerberos" ir NTLM

[Kopijuoti nuorodą]
Paskelbta 2023-08-22 19:16:28 | | | |
AD autentifikavimas naudoja du pagrindinius protokolus: Kerberos ir NTLM

NTLM



Sertifikavimo procesas yra toks:

  • Klientas sugeneruoja NTLM maišą vietoje, o reikšmė yra vartotojo slaptažodžio maišos reikšmė.
  • Klientas siunčia vartotojo vardą į taikomųjų programų serverį.
  • Programų serveris sugeneruoja atsitiktinę kliento reikšmę, kuri paprastai vadinama nonce arba iššūkiu.
  • klientas užšifruoja nonce su NTLM maiša ir siunčia jį į programos serverį.
  • Gavęs jį, programų serveris siunčia jį į AD serverį kartu su vartotojo vardu ir nonce.
  • AD sugeneruoja NTLM maišą pagal vartotojo slaptažodį, užšifruoja nonce ir palygina kliento pranešimą.
  • Jei reikšmės yra vienodos, autentifikavimas praeina, o jei jos skiriasi, autentifikavimas nepavyksta.


Kerberos



Pagrindinės sąvokos:

  • KDC: raktų paskirstymo centras, teikiantis dvi paslaugas: autentifikavimo paslaugą (AS) ir bilietų suteikimo paslaugą (TGS). Domenas sukuria domeno paskyrą, vadinamą krbtgt KDC, o TGT naudoja slaptažodį šifravimui ir iššifravimui. Kai domeno vartotojas prisijungia pirmą kartą, jis nori, kad AS autentifikuotųsi, o po to, kai praeina, AS prašo TGS pateikti bilietą (TGT) domeno vartotojui.
  • SPN: paslaugos pagrindinis pavadinimas。 Be vartotojų paskyrų, AD paskyros taip pat turi paslaugų paskyras. Programa taip pat turės su ja susietą paslaugos paskyrą, kuri palengvins programos prieigą prie serverio išteklių, tokių kaip "Exchange", SQL, IIS ir kt. SPN yra tarnyba, naudojama susieti tarnybą, kurią įgalina programa, su AD tarnybos abonementu.


Sertifikavimo procesas:

1. Kai domeno vartotojas prisijungia, DC siunčiama AS užklausa (AS_REQ), kurioje yra užšifruota laiko žyma, užšifruota vartotojo slaptažodžio maiša ir vartotojo vardas.

2. Gavęs užklausą, DC naudoja vartotojo vartotojo vardą ir slaptažodžio maišą, kad ją iššifruotų. DC atsako į AS atsakymą (AS_REP) klientui, kuriame yra sesijos raktas ir TGT (bilietų suteikimo bilietas). Seanso raktas užšifruojamas naudojant vartotojo slaptažodžio maišą. TGT yra grupės narystė, domenas, laiko žyma, kliento IP ir sesijos raktas. TGT taip pat yra užšifruotas, užšifruotas KDC paslaugos paskyros slaptažodžiu, o klientas negali jo iššifruoti. (TGT pagal numatytuosius nustatymus galioja 10 valandų, o po to įvykę atnaujinimai nereikalauja vartotojo iš naujo įvesti slaptažodžio)

3. Kai vartotojas pateikia domeno išteklių užklausą, siunčiama bilietų suteikimo paslaugos užklausa (TGS_REQ), įskaitant vartotojo vardą, laiko žymą, TGT ir SPN. Laiko žymos ir naudotojų vardai užšifruojami seanso raktu.

4. Gavęs užklausą, KDC pirmiausia nustato, ar užklausoje yra SPN, tada iššifruoja TGT, ištraukia sesijos raktą ir laiko žymą TGT ir naudoja TGT sesijos raktą, kad iššifruotų užšifruotą vartotojo vardą ir laiko žymą. Atlikite kelis patikrinimus:

(1) TGT iššifruota laiko žyma turi būti galiojanti. (Jei įvyksta pakartojimo ataka, laiko žyma negalioja.) )

(2) Ar TGT vartotojo vardas atitinka prašyme pateiktą vartotojo vardą.

(3) Ar IP adresas TGT yra toks pat kaip IP adresas prašyme.

Čekis atsakys į kliento bilietų suteikimo paslaugos atsakymą (TGS_REP), kuriame yra SPN autorizuota prieiga, naujas sesijos raktas, naudojamas prieigai tarp kliento ir SPN, ir naujas paslaugų bilieto paslaugos bilietas (įskaitant naują sesijos raktą, vartotojo vardą ir vartotojų grupę). Tiek įgaliotas SPN, tiek seanso raktas, kuris pasiekia SPN, yra užšifruoti naudojant TGT seanso raktą. Aptarnavimo bilietas užšifruojamas atitinkamos SPN paslaugos paskyros slaptažodžiu.

1. Po aukščiau nurodyto proceso vartotojas gavo sesijos raktą ir paslaugos bilietą, susijusį su programos paslauga. Vartotojas siunčia programos užklausą (AP_REQ) į taikomosios programos tarnybą, kurioje yra vartotojo vardas ir laiko žyma, ir yra užšifruota seanso raktu.

2. Programos paslauga naudoja paslaugos paskyros slaptažodžio maišą, kad iššifruotų paslaugos bilietą ir išgautų vartotoją, vartotojų grupę ir sesijos raktą. Iššifruokite vartotojo vardą ir laiko žymą AP_REQ naudodami iššifruotą seanso raktą. AP_REQ Jei taip, užklausa priimama, o taikomosios programos tarnyba priskiria teises pagal vartotojų grupės informaciją aptarnavimo biliete, tada vartotojas gali pasiekti prašomą paslaugą.

Pradinis adresas:Hipersaito prisijungimas matomas.





Ankstesnis:"Windows Edge" naršyklė atidaro gedimo sprendimą su IE
Kitą:DNS-over-HTTPS ir DNS-over-TLS domeno vardo skyrai

Susijusios žinutės
Atsakomybės apribojimas:
Visa programinė įranga, programavimo medžiaga ar straipsniai, kuriuos skelbia Code Farmer Network, yra skirti tik mokymosi ir mokslinių tyrimų tikslams; Aukščiau nurodytas turinys negali būti naudojamas komerciniais ar neteisėtais tikslais, priešingu atveju vartotojai prisiima visas pasekmes. Šioje svetainėje pateikiama informacija gaunama iš interneto, o ginčai dėl autorių teisių neturi nieko bendra su šia svetaine. Turite visiškai ištrinti aukščiau pateiktą turinį iš savo kompiuterio per 24 valandas nuo atsisiuntimo. Jei jums patinka programa, palaikykite autentišką programinę įrangą, įsigykite registraciją ir gaukite geresnes autentiškas paslaugas. Jei yra kokių nors pažeidimų, susisiekite su mumis el. paštu.
Mail To:help@itsvse.com