Hálózati Kerberos hitelesítési protokoll, illetve miért kell KDC TGS, és hogyan a hitelesítési
A Black Knight a Cerberus a pokolból
Az újonnan elszabadult hű kutya ...
Minden ravasz és mozgékony, a dráma,
Csak nem szörnyű fogak Clank!
Az előző cikkben a sorozat, elkezdtem ismerkednek meg a lehetőségeket a Kerberos hitelesítési protokoll. Tudod, hogy egy Kerberos, az alkotók az első változatai ezt a protokollt, az új funkciók SSPI felület, valamint a legfontosabb fejlesztések Kerberos hitelesítési protokoll képest NTLM. De a legvalószínűbb, miután az első cikket a sorozat, az olvasó tovább lehet kapcsolatos kérdéseket tekintik hitelesítési protokoll.
Ebben a cikkben azt fogja mutatni, hogy a valóságban a Clank Cerberus fogak nem olyan szörnyű. Más szóval, tudod, remélem, van valami új a Key Distribution Center (KDC), valamint a szolgáltatási jegyek. Ezen túlmenően, a Kerberos hitelesítési folyamatot kell tekinteni.
Miért van szükség KDC?
Még az első cikket a sorozat, én futólag említik, hogy az egyik fő összetevője a Kerberos hitelesítési protokoll végzi a Key Distribution Center (Key Distribution Center, KDC) - a központi adattár a felhasználói adatok a felhasználók hitelesítéséhez. Most közelebbről a fő összetevői a Kerberos.
Ebben az esetben, ha a hitelesítés megfelelően végezzük modell egy közös titkos e titkos senkinek nem volt ismert titkosító csomag segítségével a felhasználó jelszó hash. Amint a kulcs elosztó központ fogadja a csomagot, hogy megfejtse az információt egy hash, hogy lett mentve az Active Directory tartományi szolgáltatások és felhasználóként, és a kiszolgáló osztja ezt a titkot. Másfelől, a KDC rendezésére egy tartományvezérlő kezeli a felhasználók megosztott a titkokat a szervezet, amely, mint röviden említettük, ugyanabban az adatbázisban. Mellesleg, a Kerberos terminológia határt, ami által meghatározott felhasználói adatbázis egy KDC, úgynevezett szférában. míg az Active Directory domain nevek, mint a határ.
KDC maga fut egy külön folyamat, amely a következő két szolgáltatás:
Sluzhbaproverkipodlinnosti (Authentication Service, AS). Ez a szolgáltatás állít jegymegadási jegy (jegymegadási Ticket, TGT), hogy csatlakozzunk a szolgáltatáshoz a jegyek az ő, vagy egy megbízható domain. Az identitást TGT lehetővé teszi, hogy a menetjegyek az összes szolgáltatást használt, hogy hozzáférjen a források. Az viszont, mielőtt a felhasználó kér egy jegyet egy másik számítógépen, meg kell kérni egy TGT hitelesítési szolgáltatásokat az ügyfél számlájára. Ezután a hitelesítési szolgáltatás visszaadja szolgáltatás TGT jegyet a cél domain a számítógépet. Sami TGT jegyeket lehet felhasználni lejárta előtt annak érvényességi idejét, azonban az első alkalommal a szolgáltatás TGS, a felhasználó meg kell adniuk hitelesítő hitelesítési;
Szolgáltatás jegyek (Ticket-GrantingService, TGS). Ezzel szemben a hitelesítés szolgáltatás, a szolgáltatás ad jegyet kapcsolat számítógépek a tartományban. Amikor az ügyfelek akar csatlakozni bármely számítógép, arra utal, hogy a szolgáltatás az TGS, biztosítja a TGT, majd kér egy jegyet a rendeltetési számítógépre. Mint minden esetben, a jegyeket lehet felhasználni lejárta előtt annak érvényességét, de amikor először csatlakozik a TGS, lesz, hogy az adatait.
Mindkét szolgáltatás fut a helyi biztonsági eljárás (Local Security Authority, LSA). By the way, a kliens számítógépek, valamint bármely alkalmazás soha nem lehet tudni, hogy közvetlen hozzáférést nyerjenek maga az adatbázis számlák. Amellett, hogy a két szolgáltatás keretében az LSA folyamat is fut a rendszer könyvtár szer (Directory rendszer Agent - DSA, ügynök, amellyel ellenőrzi a bázis fürdő), amelyen keresztül kell haladnia az összes kérést.
Ábra. 1. meghatározása a küszöböt a jegy méret
Amellett, hogy az összes fenti ebben a szakaszban, meg kell jegyezni, hogy ha valamilyen okból a KDC nem érhető el, a tartományvezérlő volt található KDC, már nem lesz tartományvezérlő, és hozzáférést biztosít az Active Directory tartományi szolgáltatások Ön lehet probléma. Ez az oka annak, bármely tartományvezérlő tudja fogadni hitelesítési kéréseket és jegyek kiadása, amelynek a szerepe a KDC.
Process Kerberos hitelesítés
Korábban csak röviden beszélt a folyamat Kerberos hitelesítés, és úgy nézett ki, mint a következő: a felhasználó beírja az adatait a kliens jelszó hash a helyi biztonsági alrendszer az LSA, akkor az adatok át a Security Support Provider, és utána megy a tartományvezérlő.
Ez több, mint nyilvánvaló, hogy ez nem ér véget. Szóval, milyen műveletet végezni a Kerberos hitelesítési:
Először is, a szállító küld az SSP Key Distribution Center hitelesítési üzenet tartalmazza a felhasználó nevét és a tartományt, valamint a TGT kérésre egy titkos kulcsot, amely, mint tudjuk, kivonjuk a felhasználó jelszavát. By the way, a titkos kulcsot lehet használni kliens hitelesítés és szerver hitelesítést. Tekintettel arra, hogy a jegy lesz elküldve tiszta formában, ami tele van kitéve behatolók feltétlenül része a kérés titkosítva van;
Ábra. 2. Állítsa be a maximális szinkronizálási hiba órán számítógép
Miután hitelesítés sikeresen befejeződött, a tartományvezérlő egy üzenetet küld a kliens számítógép a TGS session kulcsot és a TGT jegy, amely biztosítja a felhasználó számára a hozzáférést a TGS. Műveletkulcsának egy titkosítási kulcsot, hogy használják a kliens hitelesítést, illetve lehet még használni, hogy hitelesítse a szerverre, hanem a titkos kulcs egy ügyfél interakció a KDC. Most, ha a felhasználó TGT életciklusa során, meg kell adnia az adatait minden erőforrását vagy alkalmazás, a felhasználó mindig szolgáltatást TGS hogy jegyet TGT. A jegyet, ráadásul minden szükséges információt még továbbítani a felhasználó SID és a biztonsági csoportok, amelyekhez a felhasználó tartozik az úgynevezett kiváltsága attribútum tanúsítvány (Privilege attribútum tanúsítvány, PAC). A TGT jegy, amelyet elküld a felhasználó testének KRB_AS_REP titkosított kulcs KDC, amelyet a felhasználó nem ismert és nem ismert. Azaz, a felhasználó kap egy TGT titkosítva van, és nem tudja megfejteni.
felhasználói jegy élettartam, akkor előre meghatározni, ismét csoportházirend segítségével. Ehhez kihasználják a politikai környezetben „Maximális távú használati jegyet életen át„a Node Configuration kompyuteraPolitikiParametryWindowsParametry bezopasnostiPolitiki zapiseyKerberos számlákat. Itt adhatja meg a maximális időtartamot, amelynek folyamán fel lehet használni jegyet jegyet. Miután lejárt a TGT jegy szükséges megújítani meglévő jegyet vagy kérjen újat. A párbeszéd a politika jelenlegi beállítás tulajdonságai ablakban alul látható:
Ábra. 3. Maximális felhasználói jegy élettartam
Ebben a szakaszban a csomag visszakerül a felhasználó számítógépén, és meg kell visszafejteni újra. A folyamat során a dekódolására ülés TGS kulcs a kliens számítógép megfelel a felhasználó titkos kulcsot. Második lépésben a folyamat, ha az ügyfél képes dekódolni az esemény kulcsot, és az időbélyegző érvényes volt, az ügyfél úgy véli, hogy a központ KDC érvényes és azt meg lehet bízni. Az esemény kulcsot cache a felhasználó számítógépén előtt annak érvényességének lejárta, és csatlakozni a Key Distribution Center a legfontosabb most fogják használni. És mivel már nincs szükség a privát kulcs az ügyfél - ez egyszerűen eltávolítják a cache;
A felhasználó már hitelesítette, hogy van, azt mondhatjuk, az egyik legfontosabb szakaszában már elmúlt. Ugyanakkor szükség van, hogy hozzáférjen a hálózati erőforrások alapvető kihívást jelent az a szóban forgó eljárás. Amikor betekintést enged a szolgáltatás TGS használja TGT nyert a felhasználó, a hozzáférést a hálózati erőforrás a felhasználónak, hogy ki-adó TGS jegyet a szolgáltatás eléréséhez. A kliens elküldi a jegyet a szolgáltatás eléréséhez kérelmet a TGS, amely információkat tartalmaz, mint például a felhasználó nevét és a tartományt, annak SPN, TGT jegy, melyet már említettük, a UPN, valamint egy időbélyeg, titkosított esemény kulcs ebben a lépésben;
KDC TGT újra dekódolja a jegyet a hosszú távú kulcs, lekéri TGS session kulcsot és az időbélyegző ellenőrzi, hogy a helyes ülés gombot használjuk. Ha az összes kinyert adatok érvényesek, elosztó központ kulcs végzi LDAP-lekérdezés, hogy keressen egy felhasználói fiókot, és előkészíti a jegyet a szolgáltatás eléréséhez. Mint ahogy az egy életre tagja a jegyet, a házirend „Maximum élettartama jegyrendelés.” megadhatja a maximális számú percet vett igénybe, a kapott ülés jegy használhatják eléréséhez egy adott szolgáltatás. Jegyek ülések csak hitelesítéséhez új kapcsolatok szervereket. Miután a kapcsolat a hitelesítéshez, érvényességét a jegyet elveszti értelmét. Ha megad egy értéket 0 perc, az időszak az élet a jegy sosem jár. Tulajdonságok párbeszédablak a házirend-beállítás látható az alábbi ábrán:
Ábra. 4. A szolgáltatási jegy maximális élettartama
Most az ügyfélszámítógép elmenti az ülés jegyének mindkét részét a memóriájában. Hozzáférés engedélyezéséhez az ügyfélszámítógép a hálózati szolgáltatáshoz egy munkamenetet biztosít;
Végre egy hálózati szolgáltatás, amelyre a felhasználó csatlakozik, dekódolja a jegyet a szolgáltatás eléréséhez privát kulccsal, majd dekódolja az időbélyegző, amely megtalálható, és a kérés is. Ha minden dolgozott ki, a hálózati szolgáltató központ kezd bízni KDC és meghatározza, hogy a kölcsönös hitelesítés szükséges az ügyfél számára. Ha ez szükséges, az időbélyegző a kérés titkosítva vannak, és küldött választ a kliens számítógépre. Aztán megint az ügyfél köteles elvégezni dekódolási időbélyeg segítségével ülésén gombot. Ha minden timestamps megállapodtak - nincs általános bizalmat;
Itt az a folyamat, Kerberos hitelesítési, de ha azt szeretnénk, hogy megismerjék ezt a folyamatot részletesebben, beleértve a kialakulását üzeneteket és üzenetküldési szervezet, ezért javasoljuk, hogy megismerkedjen RFC1510.
És végül,
Meg kell jegyezni, hogy ebben a tanulmányban azonosított, nem az összes lehetséges árnyalatok kapcsolódó Key Distribution Center és a Kerberos hitelesítési eljárás azonban meghatározott anyag lehetővé teszi, hogy egy általános ismereteket társítva. A cikk nem tekinthető KDC proxyszolgáltatás jegyet titkosítási folyamat különböző üzeneteket jelenik meg a jegyet, nem vették figyelembe a hitelesítési domainek között.