Utazás a rakéta Kerberos-jegyeket, kérem ... ez Kerberos

Jegyeket, kérem ...

Mi a Kerberos?

Active Directory Kerberos, ha tudsz

Ez eltér a LM / NTLM / NTLMv2 alapuló RFC 1510 és egyéb szabványok

Saját szószedet: Az ügyfél, szolgáltatás, pre-hitelesítő, hitelesítő, hitelesítő, session kulcs, jegy, Jegybiztosító jegy, Ticket Service, Key Distribution Center, Authentication Service, jegybiztosító Service

Kerberos View from space

Leegyszerűsítve ez a szolgáltatás fut egy tartományvezérlő

Tisztában van a két dolog ( „vezetőinek”): A felhasználók és szolgáltatások (például a fájl szolgáltatásokat a szerveren)

Amikor a felhasználó meg kívánja kapni a szolgáltatást, akkor kér egy jegyet a szolgáltatás

Ezután a felhasználó bemutatja a jegyiroda, amikor használni akarja

fej Kerberos

Kerberos három fej

• Az ügyfelek vagy „Felhasználó vezetőinek”: felhasználói fiókok mindegyiknek megvan a saját nevét és jelszavát - „UPN”
• Services vagy a „Service vezetőinek”: valami, amit szeretnénk elérni; ez lehet, hogy csak egy szerver vagy egy külön szolgáltatás (file / print, SQL, Exchange); Minden szolgáltatás saját nevét - „SPN” és a jelszó
• Key Distribution Center (KDC) - Domain Controller kiszolgáló, amely ismeri az összes jelszó és szolgáltatások. Megvan a saját jelszavát, csak általa ismert (Account „krbtgt”) és más tartományvezérlőit.

Elhalasztja jelszavakat egy ideig félre; és most ...

Kerberos képekben Ismerje fejünk ...

Kerberos képekben végrehajtásához az e ...

Kétféle Kerberos jegyek, a két szolgáltatás

Eleinte be magunkat a KDC be; így bejelentkezni csak egyszer kérünk KDC hogy „a KDC Ticket” ... és ez Jegybiztosító jegy

Ő nyújtott része a KDC, amely az úgynevezett „Authentication Service” vagy

Miután megkapta a TGT, meg tudjuk mutatni, hogy KDC és azt mondja: „Emlékszel rám? Most kell egy Jegyiroda hogy egy ilyen szolgáltatás ... "

Szolgáltatás jegyet küld a másik része a KDC, amely az úgynevezett „jegybiztosító Service” vagy TGS

Mivel ez található a DC?

Key Distribution Center = Authentication Service + jegybiztosító Service

KDC = AS + TGS

KDC, AS, TGS - csak egy része a szerepek által végrehajtott vezérlő

Mindazonáltal nem látjuk az AS, TGS és egyéb szolgáltatások a Task Manager; ők végzik a folyamat LSASS

Miért kétféle Kerberos jegyek?

Jegybiztosító Jegyiroda Jegyiroda ahogy szolgáltatás hitelesíti

De általában, a végén egy egyszeri és többszöri TGT ST

Ennek oka az, hogy két fajta jegyek: Kerberos védi minden jegy titkosítja részét adatokat jelszó vagy kulcs

Kerberos Key okokat jobban Kerberos

Sok jegy magában foglalja számos titkosítási információt a mi jelszót - ez azt jelenti, hogy a támadó lesz egy csomó adat kiszámításához jelszó

Tehát - és ez nagyon fontos -, amely Kerberos a TGT, sőt, a „jelszót a nap”

Információk a szolgáltatással kapcsolatos jegyet, titkosított jelszó a nap; Csak kapcsolatos információkat TGT titkosított jelszó használatával - egy ügylet naponta!

Kerberos képekben Először Tom szüksége Jegybiztosító jegy

Apropó Vista és újabb

Ha megnézzük a hálózati forgalmat, amikor a Vista próbál meg bejelentkezni, azt látjuk, hogy a TGT kérelmet először mindig sikerül.

Vista szándékosan küld egy „rossz” csomagot, hogy meghatározzák a lehetőségét, hogy az AES helyett az RC4-HMAC - visszaadja egy „KDC_ERR_PREAUTH_REQUIRED” hibát tartalmaz egy listát a lehetséges algoritmusok

Tom préselt Ctrl + Alt + Del, belépett a felhasználónevét és jelszavát, és kap egy TGT

De még mindig nem lépett a számítógépen

Azt kell, hogy hozzáférjen munkaállomás

Majd kap ez a Jegyiroda

Tehát ez a következő dolog, amit meg kell kérni a jegykiadó szolgáltatás

Kerberos képekben Következő Tom kap Jegyiroda

Tom folytatta a munkaállomáson

Kapott egy TGT, mellyel lekérdezésére Jegyiroda Ticket Service megadása

Kapott egy Jegyiroda munkaállomásra

Ezek a „jegyet”, sőt, csak az adatok a számítógép memóriájában TOMSPC

Tom láthatja őket a kerbtray vagy klist, benne van a Resource Kit

Következtetés klist segédprogram

C: \> klist jegyek

Gyorsítótárazott Jegyek: (2)

Szerver: krbtgt/[email protected]

KerbTicket Titkosítás típusa: RSADSI RC4-HMAC (NT)

Szerver: host/[email protected]

KerbTicket Titkosítás típusa: RSADSI RC4-HMAC (NT)

A nyomtatószerver ...

Ugyanígy, Tom is kap egy jegyet a nyomtatási szolgáltatás a PS (a klist jelenik CIFS / ps.stanky.ru ...)

Ő teszi TGS TGT

A szabályzó a TGT és ad Tom Jegyiroda, azonosítva azt a PS

Most Tom három jegyek

Tom és jegyek

Ez jól hangzik, de ez biztos, hogy? Idő, hogy belevetik magukat a részleteket

Mindez jól hangzik ... De hogyan tudjuk megvédeni?

Miért támadó nem lehallgatott jegyek mondani, hogy „Hi Print Service PS, Tom vagyok”?

A kulcs - ez jó ... A kulcsok - ez a következő része a Marlezonskogo Balett

biztonságos hitelesítés

Azt akarjuk, hogy képes legyen azonosítani egymással egy biztonságos hálózat; Ezt megtehetjük, ha:

• Egyetértünk a titkosítási algoritmus
• Egyetértünk a titkos kulcs
• Elfogadom adatkommunikáció

Például: Azt mondom, hogy megtalálja nekem az üdvözlő üzenetet dekódolni DES'om és 56 bites kulcsot, amelyről csak a te és én, és ha azt mondja: „Az idő az X”, akkor én tényleg Biztonságos önmaguk azonosítására, például az interneten keresztül

Kerberos és AD ...

Egyetértünk abban, hogy:

• A titkosító algoritmus: RC4-HMAC
• Megosztott titok: hagyjuk, hogy a KDC hogy hozzon létre egy random 128 bites kulcsot, és adja át csak mi
• felismerés adat: egység, az úgynevezett „hitelesítő”

Amikor a „hitelesítő” átírt, bizonyítania kell, hogy a másik, hogy tudjuk, megosztott titkos kulcs

Gyakori gombok is használhatók ...

Miután megkapta a közös kulcs, amely több, vagy akik nem tudják a kliens és a szerver nem más dolog mellett a hitelesítés, mint például:

• Az SMB-aláírás
• Biztonságos (titkosított) ülés
• Az Exchange kulcsok IPsec AH vagy ESP (aláírás és titkosítás)
• Bármilyen más formában aláírása vagy titkosítása

A másik követelmény kulcsokhoz

Jó lenne, ha a kulcs, hogy az általunk használt nem volt ugyanaz minden alkalommal

Ehelyett, ha szükséges, hogy beszéljen, hogy jobb lenne, ha valahogy megállapodtak a legfontosabb, hogy érvényes csak néhány óra, és soha többé nem látja őt használni - a kulcs az ülés

Egy ilyen kulcs nevezzük kulccsal ( "Session Key")

Kerberos Cél Hogyan lehet a kulcs nélkül a lehallgatás?

Megegyeztünk a tartalmát a hitelesítő, hogy titkosítani egyeztetett algoritmus

Minden, amire szükségünk van:

• A szerver generál egy véletlen esemény kulcsot, amely csak néhány órával
• Eljárás közvetíteni nektek és nekem azok a gombok nélküli lehallgatás

Ez teszi Kerberos. Rendszeresen.

Key gyűjtemény - I. rész: A munkamenet kulcs jegybiztosító jegy

Emlékezz jegyek - első TGT, akkor a szolgáltató jegy? Most tekintsük a része a kulcs

Amikor Tom kérdezi TGT az AS szerint ez a valóságban. Azt kérdezi, két dolgot:

• TGT, amit tesz TGS, amikor szüksége volt egy Jegyiroda és
• Különleges esemény kulcs „csak ma”, csak általa ismert és KDC

Itt van, hogyan működik (több részlet, de még egy kicsit egyszerűsített)

AS létrehoz egy közös kulccsal

Tom kap egy TGT és session key

Mi elértük ezt?

Az első helyen - volt közös kulccsal ( „ma”) között KDC és Tom

Második - kapott adatszerkezet (TGT), amely csak dekódolni az KDC

Mivel csak a KDC létrehozhat egy TGT és TGT tartalmaz egy „kulcs” dátum Tom-KDC Tom tud mutatni egy TGT ha azt akarja, hogy emlékeztesse a KDC, ők már közölték

És KDC nem kell elfelejteni, hogy Tom ma hitelesített

Key gyűjtemény - Part II: előállítás Jegyiroda a munkaállomás

Következő ne feledjük, hogy Tom szükséges Jegyiroda a munkahelyén tartózkodik, emiatt TGT a jegybiztosító Service

De hogyan TGS biztos lehet abban, hogy valaki nem fogott TGT Tom, és elküldte azt a TGS?

Ezt úgy érjük el a hitelesítő ( „Hitelesítő”) - a tartalmazó adatszerkezet, önmagában többek között az időbélyegző, a titkosított kulcs Tom-KDC

Tom kérdezi ST

TGS ellenőrzi Tom kérés

TGS teremt ST TOMSPC

Tom kap egy új kulcsot

Tom hitelesítve TOMSPC

Tom jött

Csakúgy, mint az AS és TGS, Workstation Service on TOMSPC megnyílik egy jegyet, mert titkosított jelszavával TOMSPC

TOMSPC belül TPC-Tom kulcsot használnak, hogy nyissa ki a hitelesítő

Ezután TOMSPC ellenőrzi az időbélyegző, láthatjuk, hogy jól van

A másik dolog a jegyeket - emlékszik hitelesítő? Azt bizonyítja, hogy a szolgáltatás a felhasználó, sőt, akik közül az egyik azt állítja, hogy

A Kerberos, akkor kérheti további szolgáltatás küld vissza a timestamp, titkosított kapcsolat kulcsot - a kölcsönös hitelesítés ( „a kölcsönös hitelesítés”)

Ezek a gombok arra szolgálnak, hogy a felhasználók formájában jegyek

A tagok azt állítják, hogy ők a jogos tulajdonosok jegyek felhasználásával authenticators

Kerberos csak akkor működik, AD; modern rendszerek továbbra is használhatja az LM, NTLM vagy NTLMv2 hitelesítést

további anyagok

Hogy a Kerberos V5 hitelesítési protokoll Works

Csapatblogodban Kérdezze a Directory Services

IIS és a Kerberos Ken Schaefer

Remélem, ez hasznos volt, és érdekes

[email protected]

Központ a játéktér gyermek támogatása GBOU Óvoda №1492
Kérjük, ne szidja a gyereket, amiért megértését jelenti hibát, hanem dicsérni a jó szerencsét! Beszélgetések másokkal.

Turizmus - Turizmus egy modern út - a modern utazási
Utazás szó régi, tágas, sorkatonai szolgálat. Szótár VI Dahl határozza meg, mint a „zarándoklat, strannichane, séta vagy lovaglás.

Tudtad, hogy Ön jogosult adókedvezményekkel? Mi ez?
A doboz maradt egy megjegyzés, amely a következő: „Kérem, vigyázzon rám.” A rendőrség bekapcsolta a rádiót kínál.

Kérjük, válasszon az alábbi lehetőségek közül: Kérjük, válasszon az alábbi lehetőségek közül
HR outsourcing és előnyök adminisztráció gyakran kiszervezik egy külső szolgáltató

„Utazás a Astrakhan tartományban.” különjárat
Diploma, és ez megerősíti, hogy küldött felderítő Galina Vladimirovna a XXI században egy leckét a 8. évfolyamon, annak érdekében, hogy menjen el a gyerek.