Windowsの証明|ドメイン認証

その他 2019-09-28 13:52:03 訪問数: null

Windowsでのアイデンティティの認証は、多くのがありますが、我々は常にアップグレードされますが、フィールドには、まだKerberos認証を使用します。

Kerberosが実装されているネットワーク認証プロトコルであり不依赖、ネットワーク上のすべてのホストの物理的なセキュリティを必要とすることなく、ホストアドレスなしに信頼に基づいて、ホスト・オペレーティング・システムの認証に、ネットワーク上で送信されたパケットを任意に読み出すことができることを前提としてい変更し、データを挿入、それは全くの認証であることを意味している不安全ネットワーク環境の認証のための出発、それはサードパーティの信頼関係を持つことで、ホストと1の間の相互作用が異なっています。

Kerberosの名前はギリシャ神話から来て、冥界は、動物の守護聖人の名前です。

ファイル

実際には、この絵を見た後、また三の者によって行われ、Kerberos認証を理解することができます、彼らはclientserverKDC(Key Distribution Center)

これはKDC2つのサービスで構成され、AS(Authentication Service)そしてTGS(Ticket Granting Service)

クライアントのTGTを生成するのに使用されているように、TGSがサービスチケットのクライアントを生成するために使用され、TGT(チケット認可チケット)は、一時的な証明書のチケットを取得するために使用され、チケットが使用されなければならないサービスにアクセスするために使用されます法案

只有ユーザーは、サーバー上のサービスにアクセスするために、TGTチケットを得ることができます。

WindowsではDC(ドメインコントローラ)KDCの役割として動作するドメインコントローラの間で、それはすべてのクライアントのリストを格納同様のローカルSAMデータベースのAD(アカウントデータベース)を、持っているとして、それを注意することも重要です、ユーザーのみがTGTに適用するために、クライアントに存在します。

物理的な観点から、ADとKDCドメインコントローラは、DC(ドメインコントローラ)です。

**ドメイン認証プロセスは、そのおよそ次のとおりです。**

**クライアントXianxiang DC要求は、サーバーへのアクセスを取得するために、およびDCは、要求を受信した場合、最初のASによっては、ホワイトリスト中にこのクライアントは、成功した後、AS TGTによってクライアントに返されるかどうかを確認するために、ADへの要求を開始します。

**そして、TGTを使用して、クライアントがサーバーへのアクセスを得るためにDC要求を起動し続け、DCが要求を受信したときに、TGS TGTはこのクライアントがサーバーのサービスを取得するアクセス権、および成功を持っているかどうかの判断を渡します、それはチケットに戻りますクライアント。

**チケットに、サーバーがチケットを要求しアクセスするためのクライアントを使用すると、他のサーバーにアクセスしたい場合、あなたは再適用する必要があり、サーバーでのみ有効です。

以下の画像と併せて、一般的なプロセスの効果の優れた分析は、最終製品は、プロセスを説明するために、簡単な言語で有用です。

ファイル

次に我々は再び完全なデータ要求処理を行きます

私はこの実験で使用される機械についてお話しましょう

DC 192.168.5.130

Client 192.168.5.238
计算机名:SECQUAN_WIN7-PC
域用户:win7

Server 192.168.5.239
计算机名:SECQUAN_WIN7
域用户:win71

ケルベロスの以下の説明は、クロールするためにネットワーク共有サービスを介してパケット

ファイル

まずは、プロセスの最初のステップを見てみましょう

ファイル

クライアントがKDCにその識別情報を送信した後、KDCの検証が成功し、それがローカル生成され随机た文字列のセッションキーを、次に二つのメッセージをクライアントに返します。

**ユーザーセッションキーが暗号化された後、なぜKDCがそれを暗号化するために、クライアント・ユーザー・NTLMハッシュを使用することができます取得したNTLMハッシュに対応するクライアントが提供する名前、店舗AD内のすべてのドメインユーザーアカウントのパスワードやその他の情報は、クライアントの識別情報を透過した後などのADは、最初の要求ユーザーは、利用可能な場合、その後、生成したセッション鍵は、データパケットを暗号化して返すために、NTLMハッシュからそれを取るかどうかを確認します一つのコンテンツ。

**他の特定のユーザがKRBTGTであるドメインコントローラを作成する場合、ユーザ情報及び送信を暗号化したクライアントセッションキーの特定のユーザNTLMハッシュした後、(KRBTGTが自動的に生成されるKDCであり、そしてシステムによって彼に割り当てられたランダムなパスワード);暗号化されたデータの内容は、実際には、後に要求TGTに使用されています。

  • 両方の中間体は、同一のセッション鍵に使用されます。

次に、具体的な処理は、再度、各送信の具体的な内容を要求します

クライアントを見て時間が識別情報を送信し、どのように送信されています

ファイル

彼は送信されKRB_AS_REQ含まれているリクエストの被client加密タイムスタンプを、だけでなく、自分の名前やその他の情報だけでなく、時間ドメイン・サーバ情報要求を

のは、彼のすべてのパケットの真ん中を見てみましょう

ファイル

KDCの検証が成功すると、クライアントへの復帰KRB_AS_REPの要求は、そのような内容が含まれています

ファイル

パケットから、対応するビット

ファイル

この時点までは、Kerberos要求のプロセスの最初のステップが終わった、この時間は已经获取到了所需要的TGT、次のステップは、TGTでチケットを要求することです。

ここで注意すべき**もう一つのポイントは、セッションキーのいずれかを取得、2は、最初のクライアントハッシュをコンテンツを返され、クライアントが独自のNTLMハッシュによって復号化することができるということであるが、クライアントは、クライアントではありませんKDCハッシュ、ではありませんユーザーのパスワードを知っているKRBTGT、TGTの特定のコンテンツを取得することはできません、我々は以前に取得したセッションキーを使用することができますし、TGSは、通信を継続します。

次は、プロトコルプロセスの2番目のステップを見て

ファイル

まず、彼は伝送TGTを取得する前に、その後、そこにフロント、クライアントとサーバー上のクライアントの情報やタイムスタンプ、などの情報を暗号化するために、独自のNTLMハッシュセッション鍵で復号取得し、クライアント情報は、これらの3に沿って送信されますTGSへ。

TGSは、ユーザーのNTLMハッシュのkrbtgtはTGTを解読するために送信することができる持っているである、以前KDC TGS自体の一部として送信された情報を受信するまで待って、なぜので、それを解読することができなかったTGT TGS本身是没有session key的、することはできません認証の暗号化を実行し、クライアントの他の情報TGT中是存在session key的、TGSはTGTを復号化してセッション鍵送信を得ることができるようになり、彼らは最終的にはタイムスタンプのタイムスタンプを導出するために、クライアントのセッションキーによって暗号化されたコンテンツを復号化するために使用されます、もしタイムスタンプ付き長すぎる場合、現在の時間差が、それは、TGT(するために、再度、動作は、第1ステップで繰り返される再認証を再要求する必要があります因为Kerberos在设计的时候,就假设是处于一个不安全的环境中的,是假设它中间存在中间人攻击的,所以依靠时间戳来限制)。

また、クライアント情報とクライアントのTGTを比較して両者が等しい場合だけでなく、クライアントからの情報を取得するために、TGSは、その後、我々は問題はない場合は、このクライアントがサーバにアクセスできない判断していきますので、認証に、クライアントへの帰りの航空券を成功します。

送信時に、ある二つの情報が含まれています

  • まず、それがローカルになり、文字サーバセッションキー、最初の文字列を暗号化した、新たに生成されたサーバーのセッションキーを使用する前に、セッションキーは、ここでは、サーバーのセッションキーは、主にクライアントとサーバの後半認証プロセスで使用されています。再生成随机

  • 第2の要素は、KDCは最初、NTLMハッシュを対応するADにおいて以前に得られた情報を介して、サーバを見つけるその後、NTLMハッシュがチケットを暗号化するために、最後にまとめてクライアントに返し、チケットです。

後にクライアントに与えられた、クライアントはセッション・キーを持っている、それは、getサーバセッション鍵を復号化することができますが、サービスは、サーバのハッシュを終了していないので、チケットは暗号化解除することはできません。

以下のメインに含まれるチケット内容

ファイル

私たちは、すべてのパケットフロー上で見てみましょう

まず、クライアントが要求KRB-TGS-REQ年代を送信します

ファイル

TGSを処理した場合には、KRB-TGS-REPデータパケットを返信

ファイル

この時点まで、KDC通信とチケットを保持しているサーバーとの通信に続いて、オーバー

ファイル

クライアントサーバーは、クライアントが復号化することができないため、チケットで最初にその要求KRB-AP-REQを送信します。そして、第2のコンテンツは、サーバセッションキー暗号化されたクライアント情報とタイムスタンプによって復号化、サーバーのセッションキーのうち、復号化され、最終的にサーバに一緒に送られました。

サーバがパケットを受信した後、使用し自己的hashたチケットでのクライアントとの情報を比較するために、それを復号化し、サーバセッションキー、その後、タイムスタンプのクライアント情報KRB-AP-REQを獲得し、解読するためにチケットを、そして、ここになりますタイムスタンプは終了時間のチケットと比較され、チケットの代わりに、この時間以上が経過した場合、あなたは再認証する必要があります。

実際には、全体のKerberos認証プロセスは、構造とTGTチケットが唯一の違いは、TGTのセッションキーは、チケットがあるということです、同じサーバセッションキー、クライアントへのASによってセッションキー、TGSによってサーバーのセッションキークライアントへ。

ここでは、2つの対話型のパケットがあります

ファイル

ファイル

キーの連続交換、対称暗号化アルゴリズム、暗号解読のアイデンティティおよびタイムスタンプを確認し、最終的には結果の認定を達成することである実際には、全体のKerberos認証プロセス。

最後に、あなたに説明するために、より多くの世俗的な言葉を使います

たとえば、あなたがチケットを買いに行くまず、飛行するつもりだ、反対側(AS)は、確かにあなたのアイデンティティ(クライアント情報)を検証し、検証後のあなたへのチケット(TGT)、によって、その後、搭乗、チケットスタッフ(TGS)は、あなたが適切な場所にチケットを取ることができ、あなたのチケット(TGT)を検証し、その後、あなたの航空機(チケット)の位置を教えてくれます。

いいえ公共のデビュー記事ません:意図しないたわごと(wuxinmengyi)

これは、レコード赤チーム学習、校長ノート、公衆の個人的な成長の数であります

スキャンコードへの懸念

ファイル

おすすめ

転載: www.cnblogs.com/wuxinmengyi/p/11601346.html
おすすめ
TIOBE 5 月リスト: Fortran がトップ 10 に「復活」
GCC 14.1 发布
ランキング
Linuxの一般的なコマンドの緊急対応
FPGAの設計者は、5つの基本的なスキルです
Javaの研究では、2019年6月12日ノート
Golang底层原理剖析之内存逃逸
VIM - Viは、プログラマーのテキストエディタを改善しました
魔法書(MagicTable)入門チュートリアルは、CADの一括転送複数のテーブルExcelをExcelを回し--CAD
mockitoとの望ましくないモック
EVE-NG MPLS L2VPN BGP pw -- スタティック ルート、スタティック mpls lsp
抵抗性タッチスクリーンドライバ(II)
PHP 安装扩展 Api Version 和扩展extensions路径不匹配的问题
アーカイブ
もっと
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)
2024-05-04(18)
2024-05-03(8)
2024-05-02(0)
2024-05-01(4)
2024-04-30(35)
2024-04-29(5)

コードワールド

© 2018 codetd.com