Denne artikkelen er en speilartikkel om maskinoversettelse, vennligst klikk her for å hoppe til originalartikkelen.

Architect_Programmer_Code Landbruksnettverket»Arkitekt Andre teknologier Windows/Linux Windows AD-autentisering: Kerberos og NTLM
Utsikt: 3036|Svare: 0

[vinduer] Windows AD-autentisering: Kerberos og NTLM

[Kopier lenke]
Publisert på 22.08.2023 19:16:28 | | | |
AD-autentisering bruker to hovedprotokoller: Kerberos og NTLM

NTLM



Sertifiseringsprosessen er som følger:

  • Klienten genererer en NTLM-hash lokalt, og verdien er hashverdien til brukerens passord.
  • Klienten sender brukernavnet til applikasjonsserveren.
  • Applikasjonsserveren genererer en tilfeldig verdi for klienten, som vanligvis kalles nonce eller utfordring.
  • klienten krypterer noncen med NTLM-hash og sender den til applikasjonsserveren.
  • Etter mottak sender applikasjonsserveren den til AD-serveren sammen med brukernavnet og nonce.
  • AD genererer en NTLM-hash basert på brukerens passord, krypterer noncen, og sammenligner deretter klientens melding.
  • Hvis verdiene er de samme, går autentiseringen gjennom, og hvis de er forskjellige, feiler autentiseringen.


Kerberos



Nøkkelbegreper:

  • KDC: Key Distribution Center, som tilbyr to tjenester: Authentication Service (AS) og Ticket-granting Service (TGS). Domenet genererer en domenekonto kalt krbtgt for KDC, og TGT bruker passordet for kryptering og dekryptering. Når en domenebruker får tilgang for første gang, ønsker de at AS-en skal autentisere, og etter å ha passert, ber AS-en TGS om å gi en ticket (TGT) til domenebrukeren.
  • SPN: Service Principal Name。 I tillegg til brukerkontoer har også AD-kontoer tjenestekontoer. Applikasjonen vil også ha en tjenestekonto tilknyttet, som gjør det mulig for applikasjonen å få tilgang til serverressurser, som Exchange, SQL, IIS osv. SPN er en tjeneste som brukes til å knytte tjenesten, aktivert av applikasjonen, til tjenestekontoen i AD.


Sertifiseringsprosess:

1. Når en domenebruker logger inn, sendes en AS-forespørsel (AS_REQ) til DC, som inneholder et kryptert tidsstempel kryptert med brukerens passordhash og brukernavn.

2. Etter å ha mottatt forespørselen, bruker DC brukerens brukernavn- og passordhash for å dekryptere den. DC-en svarer et AS-svar (AS_REP) til klienten, som inkluderer en sesjonsnøkkel og en TGT (Ticket Granting Ticket). Sesjonsnøkkelen krypteres med brukerens passordhash. TGT-en inneholder gruppemedlemskap, domene, tidsstempel, klient-IP og sesjonsnøkkel. TGT er også kryptert, kryptert med passordet til KDC-tjenestekontoen, og klienten kan ikke dekryptere det. (TGT er som standard gyldig i 10 timer, og oppdateringer som skjer etter det krever ikke at brukeren skriver inn passordet på nytt)

3. Når en bruker ber om en ressurs i domenet, sendes en Ticket Granting Service Request (TGS_REQ), inkludert brukernavn, tidsstempel, TGT og SPN. Tidsstempler og brukernavn krypteres med en sesjonsnøkkel.

4. Etter mottak av forespørselen avgjør KDC først om det finnes en SPN i forespørselen, dekrypterer deretter TGT, henter ut sesjonsnøkkelen og tidsstempelet i TGT, og bruker sesjonsnøkkelen i TGT-en til å dekryptere det krypterte brukernavnet og tidsstempelet. Utfør flere kontroller:

(1) Tidsstempelet dekryptert av TGT må være gyldig. (Hvis et reprisangrep skjer, er tidsstempelet ugyldig.) )

(2) Om brukernavnet i TGT-en er konsistent med brukernavnet i forespørselen.

(3) Om IP-adressen i TGT-en er den samme som IP-adressen i forespørselen.

Sjekken vil svare på klientens Ticket Granting ServiceReply(TGS_REP), som inneholder SPN-autorisert tilgang, den nye sesjonsnøkkelen som brukes for tilgang mellom klient og SPN, og den nye Service Ticket-tjenestebilletten (inkludert den nye sesjonsnøkkelen, brukernavn og brukergruppe). Både den autoriserte SPN-en og sesjonsnøkkelen som får tilgang til SPN-en er kryptert med sesjonsnøkkelen i TGT. Tjenestebilletten krypteres med passordet til den tilsvarende SPN-tjenestekontoen.

1. Etter ovennevnte prosess har brukeren fått sesjonsnøkkelen og tjenestebilletten knyttet til applikasjonstjenesten. Brukeren sender en applikasjonsforespørsel (AP_REQ) til applikasjonstjenesten, som inneholder brukernavn og tidsstempel, og krypteres med en sesjonsnøkkel.

2. Applikasjonstjenesten bruker tjenestekontoens passordhash for å dekryptere tjenestesaken og hente ut bruker-, brukergruppen og sesjonsnøkkelen. Dekrypter brukernavnet og tidsstempelet i AP_REQ med den dekrypterte sesjonsnøkkelen. AP_REQ Hvis ja, aksepteres forespørselen, og applikasjonstjenesten tildeler tillatelser basert på brukergruppeinformasjonen i tjenesteticketen, og deretter kan brukeren få tilgang til den forespurte tjenesten.

Opprinnelig adresse:Innloggingen med hyperkoblingen er synlig.





Foregående:Windows Edge-nettleseren åpner krasjløsning med IE
Neste:DNS-over-HTTPS og DNS-over-TLS for domenenavnoppløsning

Relaterte innlegg
Ansvarsfraskrivelse:
All programvare, programmeringsmateriell eller artikler publisert av Code Farmer Network er kun for lærings- og forskningsformål; Innholdet ovenfor skal ikke brukes til kommersielle eller ulovlige formål, ellers skal brukerne bære alle konsekvenser. Informasjonen på dette nettstedet kommer fra Internett, og opphavsrettstvister har ingenting med dette nettstedet å gjøre. Du må fullstendig slette innholdet ovenfor fra datamaskinen din innen 24 timer etter nedlasting. Hvis du liker programmet, vennligst støtt ekte programvare, kjøp registrering, og få bedre ekte tjenester. Hvis det foreligger noen krenkelse, vennligst kontakt oss på e-post.
Mail To:help@itsvse.com