Diretório de artigos
Primeiro, você deve saber o significado do substantivo
forma abreviada | significado |
---|---|
DC | Controlador de domínio |
KDC | Centro de distribuição de chaves |
DE ANÚNCIOS | Banco de dados de contas Banco de dados de contas |
COMO | Serviço de autenticação |
TGS | Serviço de Concessão de Bilhetes Serviço de Concessão de Bilhetes |
TGT | Concessão de Ingresso Ingresso Concedido pela Central de Ingressos |
Em segundo lugar, o processo áspero
1. O cliente solicita o serviço kerberos , esperando obter permissão para acessar o servidor. Quando o kerberos recebe essa notícia, ele deve primeiro determinar se o cliente é confiável, o que pode ser entendido como uma lista preta e branca. É isso que o serviço AS faz, distinguindo clientes armazenando listas negras e brancas no AD . Após o sucesso, o AS retorna o TGT ao cliente.
2. Após o cliente obter o TGT, ele continua solicitando kerberos, esperando obter permissões de acesso e servidor. Kerberos recebeu a notícia novamente, o TGT na emergência, julgou que o cliente tem essa permissão, e deu ao cliente o tíquete de permissão para acessar o servidor.
3. Depois que o cliente recebe o ticket, ele pode acessar o servidor com sucesso. Este ticket é apenas para este servidor, outros servidores precisam se inscrever no TGS
3. Processo detalhado
1. A primeira etapa da autenticação de domínio:
(1) Primeiro, o cliente (cliente) envia informações do usuário para o servidor, ou seja, o KDC, incluindo informações de controle de domínio, como nome do computador, endereço e TGS. Depois de enviar e ir, o KDC verifica se o nome do computador recebido, o endereço e o nome de usuário estão no AD. Se estiverem todos, ele enviará 2 e 3 para o cliente (como mostrado acima).
(2) Serviço de Autenticação (AS): KDC vai ao AD para encontrar o hash correspondente de acordo com o nome de usuário enviado pelo cliente para criptografar o SeesionKey, que é gerado aleatoriamente.
(3) TGT (ticket concedido pelo Ticket Granting Ticket Center): o KDC criptografa a SeesionKey e as informações do cliente por meio do NTMLhash correspondente a um usuário específico no KDC. A SeesionKey aqui é a mesma da etapa anterior. Após a criptografia ser concluída , ele é enviado ao cliente.
As informações específicas enviadas pelo servidor ao KDC:
As informações específicas retornadas pelo KDC ao cliente:
2. A segunda etapa da autenticação de domínio:
(1) O cliente continua a enviar informações para o servidor, TGT (este é o TGT retornado pelo servidor para o cliente na primeira etapa), descriptografa a SeesionKey com o Hash do cliente e, em seguida, criptografa as informações com a SeesionKey: ( informações do cliente, informações do cliente do cliente de carimbo de data/hora), informações do servidor, informações do cliente e enviar essas informações para o servidor.
(2) Após o servidor receber a informação, o TGS não possui uma SeesionKey, mas o TGT recebido possui uma SeesionKey. O TGS pode descriptografar o TGT com o Hash do KDC, e então usar o SeesionKey no TGT obtido para descriptografar as informações empacotadas a SessionKey enviada pelo cliente. , verifique o timestamp após a descriptografia. Se a diferença da hora atual for muito longa, a autenticação falha, o que pode ser forjado pelo invasor. Após o sucesso, compare as informações do cliente nesta SessionKey com o cliente no TGT retornado ao cliente na primeira etapa Se as informações do cliente forem as mesmas, após a autenticação, um pacote de dados será devolvido ao cliente. O conteúdo do pacote é: criptografar a SessionKey do servidor com a SessionKey agora mesmo (um caractere aleatório gerado aleatoriamente pelo KDC, que é usado para a SessionKey da comunicação entre o cliente e o servidor, caso contrário, não pode ser autenticado) , o conteúdo do ticket são as informações do servidor na etapa anterior, o KDC usa o nome do computador nas informações do servidor para extrair o valor de Hash (Server SessionKey) correspondente do AD para criptografar o ticket.
3. A terceira etapa da autenticação de domínio:
(1) O cliente não pode descriptografar o Ticket, mas o cliente possui a Server SessionKey, que é usada para criptografar as informações do cliente e o carimbo de data/hora e enviá-los ao servidor.
(2) O servidor primeiro descriptografa o Ticket com seu próprio Hash. O Ticket contém o Server SessionKey. O servidor usa o Server SessionKey para descriptografar as informações do cliente e o carimbo de data/hora recebidos, compará-los com as informações do ticket e determinar o valor de o bilhete.
4. Resumo
A essência da autenticação é a troca de chaves secretas, o uso de algoritmos de criptografia simétrica e a verificação de carimbos de data e hora e identidades.