Ta članek je zrcalni članek strojnega prevajanja, kliknite tukaj za skok na izvirni članek.

Architect_Programmer_Code Kmetijska mreža»Arhitekt Druge tehnologije Windows/Linux Avtentikacija Windows AD: Kerberos in NTLM
Pogled: 3036|Odgovoriti: 0

[okna] Avtentikacija Windows AD: Kerberos in NTLM

[Kopiraj povezavo]
Objavljeno na 22. 08. 2023 19:16:28 | | | |
AD avtentikacija uporablja dva glavna protokola: Kerberos in NTLM

NTLM



Postopek certificiranja je naslednji:

  • Odjemalec lokalno generira NTLM zgoščevalno vrednost, ki je zgoščena vrednost uporabnikovega gesla.
  • Odjemalec pošlje uporabniško ime aplikacijskemu strežniku.
  • Aplikacijski strežnik generira naključno vrednost za odjemalca, ki se običajno imenuje nonce ali izziv.
  • Odjemalec šifrira nonce z NTLM zgoščenko in ga pošlje aplikacijskemu strežniku.
  • Po prejemu aplikacijski strežnik pošlje paket AD strežniku skupaj z uporabniškim imenom in nonce.
  • AD ustvari NTLM zgoščeno vrednost na podlagi uporabniškega gesla, šifrira nonce in nato primerja sporočilo odjemalca.
  • Če so vrednosti enake, avtentikacija uspe, in če sta različni, avtentikacija ne uspe.


Kerberos



Ključni izrazi:

  • KDC: Center za distribucijo ključev, ki nudi dve storitvi: storitev avtentifikacije (AS) in storitev dodeljevanja vstopnic (TGS). Domena generira domenski račun z imenom krbtgt za KDC, TGT pa uporablja geslo za šifriranje in dešifriranje. Ko uporabnik domene prvič dostopa, želi, da se AS avtentikira, in po prehodu AS zahteva TGS, da uporabniku domene zagotovi vstopnico (TGT).
  • SPN:Service Principal Name。 Poleg uporabniških računov imajo AD računi tudi storitvene račune. Aplikacija bo imela tudi storitveni račun, ki bo aplikaciji olajšal dostop do strežniških virov, kot so exchange, SQL, IIS itd. SPN je storitev, ki se uporablja za povezavo storitve, ki jo omogoča aplikacija, z računom storitve v AD.


Postopek certificiranja:

1. Ko se uporabnik domene prijavi, se na DC pošlje AS zahteva (AS_REQ), ki vsebuje šifriran časovni žig, šifriran z uporabniškim geslom in uporabniškim imenom.

2. Po prejemu zahteve DC uporabi uporabniško ime in geslo uporabnika za dešifriranje. DC odgovarja na AS odgovor (AS_REP) odjemalcu, ki vključuje sejni ključ in TGT (Ticket Granting Ticket). Sejni ključ je šifriran z uporabniškim geslom (hash). TGT vsebuje članstvo v skupini, domeno, časovni žig, IP odjemalca in ključ seje. TGT je prav tako šifriran, šifriran z geslom za račun storitve KDC, odjemalec pa ga ne more dešifrirati. (TGT je privzeto veljaven 10 ur, posodobitve, ki sledijo temu, pa ne zahtevajo ponovnega vnosa gesla)

3. Ko uporabnik zahteva vir v domeni, se pošlje Ticket Granting Service Request (TGS_REQ), ki vključuje uporabniško ime, časovni žig, TGT in SPN. Časovni žigi in uporabniška imena so šifrirani s sejnim ključem.

4. Po prejemu zahteve KDC najprej ugotovi, ali je v zahtevi SPN, nato dešifrira TGT, izlušči sejni ključ in časovni žig v TGT ter uporabi sejski ključ v TGT za dešifriranje šifriranega uporabniškega imena in časovnega žiga. Opravite več preverjanj:

(1) Časovni žig, ki ga dešifrira TGT, mora biti veljaven. (Če pride do ponovitvenega napada, je časovni žig neveljaven.) )

(2) Ali je uporabniško ime v TGT skladno z uporabniškim imenom v zahtevi.

(3) Ali je IP naslov v TGT enak IP naslovu v zahtevi.

Preverjanje bo odgovorilo na odjemalčev Ticket Granting ServiceReply(TGS_REP), ki vsebuje dovoljeni dostop do SPN, nov sejni ključ, uporabljen za dostop med odjemalcem in SPN, ter novo Service Ticket service ticket (vključno z novim sejnim ključem, uporabniškim imenom in uporabniško skupino). Tako odobreni SPN kot ključ seje, ki dostopa do SPN, sta šifrirana s sejonskim ključem v TGT. Vstopnica za storitev je šifrirana z geslom ustreznega SPN storitvenega računa.

1. Po zgornjem postopku je uporabnik pridobil sejni ključ in servisno vstopnico, povezano z aplikacijsko storitvijo. Uporabnik pošlje Application Request (AP_REQ) aplikacijski storitvi, ki vsebuje uporabniško ime in časovni žig ter je šifriran s sejnim ključem.

2. Aplikacijska storitev uporablja hash gesla servisnega računa za dešifriranje servisne naloge in izvlečenje uporabnika, uporabniške skupine ter sejnega ključa. Dešifriraj uporabniško ime in časovni žig v AP_REQ z dešifriranim sejnim ključem. AP_REQ Če je tako, je zahteva sprejeta, aplikacijska storitev pa dodeli dovoljenja na podlagi informacij o uporabniški skupini v zahtevku za storitev, nato pa lahko uporabnik dostopa do zahtevane storitve.

Izvirni naslov:Prijava do hiperpovezave je vidna.





Prejšnji:Brskalnik Windows Edge odpre rešitev za zrušitev z IE
Naslednji:DNS-preko-HTTPS in DNS-preko-TLS za reševanje domenskih imen

Sorodne objave
Disclaimer:
Vsa programska oprema, programski materiali ali članki, ki jih izdaja Code Farmer Network, so namenjeni zgolj učnim in raziskovalnim namenom; Zgornja vsebina ne sme biti uporabljena v komercialne ali nezakonite namene, sicer uporabniki nosijo vse posledice. Informacije na tej strani prihajajo z interneta, spori glede avtorskih pravic pa nimajo nobene zveze s to stranjo. Zgornjo vsebino morate popolnoma izbrisati z računalnika v 24 urah po prenosu. Če vam je program všeč, podprite pristno programsko opremo, kupite registracijo in pridobite boljše pristne storitve. Če pride do kakršne koli kršitve, nas prosimo kontaktirajte po elektronski pošti.
Mail To:help@itsvse.com