Šis raksts ir mašīntulkošanas spoguļraksts, lūdzu, noklikšķiniet šeit, lai pārietu uz oriģinālo rakstu.

Architect_Programmer_Code Lauksaimniecības tīkls»Arhitekts Citas tehnoloģijas Windows / Linux Windows AD autentifikācija: Kerberos un NTLM
Skats: 3036|Atbildi: 0

[Windows] Windows AD autentifikācija: Kerberos un NTLM

[Kopēt saiti]
Publicēts 22.08.2023 19:16:28 | | | |
AD autentifikācija izmanto divus galvenos protokolus: Kerberos un NTLM

NTLM



Sertifikācijas process ir šāds:

  • Klients ģenerē NTLM jaucējkodu lokāli, un vērtība ir lietotāja paroles jaucējvērtība.
  • Klients nosūta lietotājvārdu uz lietojumprogrammu serveri.
  • Lietojumprogrammu serveris klientam ģenerē nejaušu vērtību, ko parasti sauc par nonce vai izaicinājumu.
  • klients šifrē nonce ar NTLM jaucējkodu un nosūta to uz lietojumprogrammu serveri.
  • Pēc tā saņemšanas lietojumprogrammu serveris nosūta to uz AD serveri kopā ar lietotājvārdu un nonce.
  • AD ģenerē NTLM jaucējkodu, pamatojoties uz lietotāja paroli, šifrē nonce un pēc tam salīdzina klienta ziņojumu.
  • Ja vērtības ir vienādas, autentifikācija tiek izturēta, un, ja tās atšķiras, autentifikācija neizdodas.


Kerberos



Galvenie termini:

  • KDC: Atslēgu izplatīšanas centrs, kas nodrošina divus pakalpojumus: autentifikācijas pakalpojums (AS) un biļešu piešķiršanas pakalpojums (TGS). Domēns ģenerē domēna kontu ar nosaukumu krbtgt KDC, un TGT izmanto paroli šifrēšanai un atšifrēšanai. Kad domēna lietotājs piekļūst pirmo reizi, viņš vēlas, lai AS autentificētos, un pēc nodošanas AS pieprasa TGS nodrošināt domēna lietotājam biļeti (TGT).
  • SPN: Pakalpojuma galvenā nosaukums。 Papildus lietotāju kontiem AD kontiem ir arī pakalpojumu konti. Lietojumprogrammai būs arī ar to saistīts pakalpojuma konts, kas atvieglos lietojumprogrammu piekļuvi servera resursiem, piemēram, apmaiņai, SQL, IIS utt. SPN ir pakalpojums, kas tiek izmantots, lai saistītu lietojumprogrammas iespējoto pakalpojumu ar pakalpojuma kontu AD.


Sertifikācijas process:

1. Kad domēna lietotājs piesakās, DC tiek nosūtīts AS pieprasījums (AS_REQ), kas satur šifrētu laika zīmogu, kas ir šifrēts ar lietotāja paroles jaucējkodu un lietotājvārdu.

2. Pēc pieprasījuma saņemšanas DC izmanto lietotāja lietotājvārdu un paroles jaucējkodu, lai to atšifrētu. DC atbild klientam uz AS atbildi (AS_REP), kas ietver sesijas atslēgu un TGT (biļešu piešķiršanas biļeti). Sesijas atslēga ir šifrēta ar lietotāja paroles jaucējkodu. TGT satur dalību grupā, domēnu, laika zīmogu, klienta IP un sesijas atslēgu. TGT ir arī šifrēts, šifrēts ar KDC pakalpojuma konta paroli, un klients to nevar atšifrēt. (TGT pēc noklusējuma ir derīgs 10 stundas, un pēc tam veiktajiem atjauninājumiem lietotājam nav atkārtoti jāievada parole)

3. Kad lietotājs pieprasa resursu domēnā, tiek nosūtīts biļešu piešķiršanas pakalpojuma pieprasījums (TGS_REQ), ieskaitot lietotājvārdu, laika zīmogu, TGT un SPN. Laika zīmogi un lietotājvārdi tiek šifrēti ar sesijas atslēgu.

4. Pēc pieprasījuma saņemšanas KDC vispirms nosaka, vai pieprasījumā ir SPN, pēc tam atšifrē TGT, izvelk sesijas atslēgu un laika zīmogu TGT un izmanto TGT sesijas atslēgu, lai atšifrētu šifrēto lietotājvārdu un laika zīmogu. Veiciet vairākas pārbaudes:

(1) TGT atšifrētajam laika zīmogam jābūt derīgam. (Ja notiek atkārtojuma uzbrukums, laika zīmogs nav derīgs.) )

(2) Vai TGT lietotājvārds atbilst pieprasījumā norādītajam lietotājvārdam.

(3) Vai IP adrese TGT ir tāda pati kā IP adrese pieprasījumā.

Čeks atbildēs uz klienta biļešu piešķiršanas pakalpojuma atbildi(TGS_REP), kas satur SPN autorizēto piekļuvi, jauno sesijas atslēgu, kas tiek izmantota piekļuvei starp klientu un SPN, un jauno servisa biļetes apkalpošanas biļeti (ieskaitot jauno sesijas atslēgu, lietotājvārdu un lietotāju grupu). Gan autorizētais SPN, gan sesijas atslēga, kas piekļūst SPN, tiek šifrēti ar sesijas atslēgu TGT. Pakalpojuma biļete ir šifrēta ar atbilstošā SPN pakalpojuma konta paroli.

1. Pēc iepriekš minētā procesa lietotājs ir ieguvis sesijas atslēgu un pakalpojuma biļeti, kas saistīta ar lietojumprogrammas pakalpojumu. Lietotājs nosūta lietojumprogrammas pieprasījumam (AP_REQ), kas satur lietotājvārdu un laika zīmogu un ir šifrēts ar sesijas atslēgu.

2. Lietojumprogrammas pakalpojums izmanto pakalpojuma konta paroles jaucējkodu, lai atšifrētu pakalpojuma biļeti un izvilktu lietotāju, lietotāju grupu un sesijas atslēgu. Atšifrējiet lietotājvārdu un laika zīmogu AP_REQ ar atšifrēto sesijas atslēgu. AP_REQ Ja tā ir, pieprasījums tiek pieņemts, un lietojumprogrammas pakalpojums piešķir atļaujas, pamatojoties uz lietotāju grupas informāciju pakalpojuma biļetē, un pēc tam lietotājs var piekļūt pieprasītajam pakalpojumam.

Sākotnējā adrese:Hipersaites pieteikšanās ir redzama.





Iepriekšējo:Windows Edge pārlūks atver avārijas risinājumu ar IE
Nākamo:DNS-over-HTTPS un DNS-over-TLS domēna nosaukuma izšķirtspējai

Saistītās ziņas
Atruna:
Visa programmatūra, programmēšanas materiāli vai raksti, ko publicē Code Farmer Network, ir paredzēti tikai mācību un pētniecības mērķiem; Iepriekš minēto saturu nedrīkst izmantot komerciāliem vai nelikumīgiem mērķiem, pretējā gadījumā lietotājiem ir jāuzņemas visas sekas. Informācija šajā vietnē nāk no interneta, un autortiesību strīdiem nav nekāda sakara ar šo vietni. Iepriekš minētais saturs ir pilnībā jāizdzēš no datora 24 stundu laikā pēc lejupielādes. Ja jums patīk programma, lūdzu, atbalstiet oriģinālu programmatūru, iegādājieties reģistrāciju un iegūstiet labākus oriģinālus pakalpojumus. Ja ir kādi pārkāpumi, lūdzu, sazinieties ar mums pa e-pastu.
Mail To:help@itsvse.com