Utazás a rakéta Kerberos-jegyeket, kérem ... ez Kerberos
Jegyeket, kérem ...
Mi a Kerberos?
Active Directory Kerberos, ha tudsz
Ez eltér a LM / NTLM / NTLMv2 alapuló RFC 1510 és egyéb szabványok
Saját szószedet: Az ügyfél, szolgáltatás, pre-hitelesítő, hitelesítő, hitelesítő, session kulcs, jegy, Jegybiztosító jegy, Ticket Service, Key Distribution Center, Authentication Service, jegybiztosító Service
Kerberos View from space
Leegyszerűsítve ez a szolgáltatás fut egy tartományvezérlő
Tisztában van a két dolog ( „vezetőinek”): A felhasználók és szolgáltatások (például a fájl szolgáltatásokat a szerveren)
Amikor a felhasználó meg kívánja kapni a szolgáltatást, akkor kér egy jegyet a szolgáltatás
Ezután a felhasználó bemutatja a jegyiroda, amikor használni akarja
fej Kerberos
Kerberos három fej
- Az ügyfelek vagy „Felhasználó vezetőinek”: felhasználói fiókok mindegyiknek megvan a saját nevét és jelszavát - „UPN”
- Services vagy a „Service vezetőinek”: valami, amit szeretnénk elérni; ez lehet, hogy csak egy szerver vagy egy külön szolgáltatás (file / print, SQL, Exchange); Minden szolgáltatás saját nevét - „SPN” és a jelszó
- Key Distribution Center (KDC) - Domain Controller kiszolgáló, amely ismeri az összes jelszó és szolgáltatások. Megvan a saját jelszavát, csak általa ismert (Account „krbtgt”) és más tartományvezérlőit.
Elhalasztja jelszavakat egy ideig félre; és most ...
Kerberos képekben Ismerje fejünk ...
Kerberos képekben végrehajtásához az e ...
Kétféle Kerberos jegyek, a két szolgáltatás
Eleinte be magunkat a KDC be; így bejelentkezni csak egyszer kérünk KDC hogy „a KDC Ticket” ... és ez Jegybiztosító jegy
Ő nyújtott része a KDC, amely az úgynevezett „Authentication Service” vagy
Miután megkapta a TGT, meg tudjuk mutatni, hogy KDC és azt mondja: „Emlékszel rám? Most kell egy Jegyiroda hogy egy ilyen szolgáltatás ... "
Szolgáltatás jegyet küld a másik része a KDC, amely az úgynevezett „jegybiztosító Service” vagy TGS
Mivel ez található a DC?
Key Distribution Center = Authentication Service + jegybiztosító Service
KDC = AS + TGS
KDC, AS, TGS - csak egy része a szerepek által végrehajtott vezérlő
Mindazonáltal nem látjuk az AS, TGS és egyéb szolgáltatások a Task Manager; ők végzik a folyamat LSASS
Miért kétféle Kerberos jegyek?
Jegybiztosító Jegyiroda Jegyiroda ahogy szolgáltatás hitelesíti
De általában, a végén egy egyszeri és többszöri TGT ST
Ennek oka az, hogy két fajta jegyek: Kerberos védi minden jegy titkosítja részét adatokat jelszó vagy kulcs
Kerberos Key okokat jobban Kerberos
Sok jegy magában foglalja számos titkosítási információt a mi jelszót - ez azt jelenti, hogy a támadó lesz egy csomó adat kiszámításához jelszó
Tehát - és ez nagyon fontos -, amely Kerberos a TGT, sőt, a „jelszót a nap”
Információk a szolgáltatással kapcsolatos jegyet, titkosított jelszó a nap; Csak kapcsolatos információkat TGT titkosított jelszó használatával - egy ügylet naponta!
Kerberos képekben Először Tom szüksége Jegybiztosító jegy
Apropó Vista és újabb
Ha megnézzük a hálózati forgalmat, amikor a Vista próbál meg bejelentkezni, azt látjuk, hogy a TGT kérelmet először mindig sikerül.
Vista szándékosan küld egy „rossz” csomagot, hogy meghatározzák a lehetőségét, hogy az AES helyett az RC4-HMAC - visszaadja egy „KDC_ERR_PREAUTH_REQUIRED” hibát tartalmaz egy listát a lehetséges algoritmusok
Tom préselt Ctrl + Alt + Del, belépett a felhasználónevét és jelszavát, és kap egy TGT
De még mindig nem lépett a számítógépen
Azt kell, hogy hozzáférjen munkaállomás
Majd kap ez a Jegyiroda
Tehát ez a következő dolog, amit meg kell kérni a jegykiadó szolgáltatás
Kerberos képekben Következő Tom kap Jegyiroda
Tom folytatta a munkaállomáson
Kapott egy TGT, mellyel lekérdezésére Jegyiroda Ticket Service megadása
Kapott egy Jegyiroda munkaállomásra
Ezek a „jegyet”, sőt, csak az adatok a számítógép memóriájában TOMSPC
Tom láthatja őket a kerbtray vagy klist, benne van a Resource Kit
Következtetés klist segédprogram
C: \> klist jegyek
Gyorsítótárazott Jegyek: (2)
Szerver: krbtgt/[email protected]
KerbTicket Titkosítás típusa: RSADSI RC4-HMAC (NT)
Szerver: host/[email protected]
KerbTicket Titkosítás típusa: RSADSI RC4-HMAC (NT)
A nyomtatószerver ...
Ugyanígy, Tom is kap egy jegyet a nyomtatási szolgáltatás a PS (a klist jelenik CIFS / ps.stanky.ru ...)
Ő teszi TGS TGT
A szabályzó a TGT és ad Tom Jegyiroda, azonosítva azt a PS
Most Tom három jegyek
Tom és jegyek
Ez jól hangzik, de ez biztos, hogy? Idő, hogy belevetik magukat a részleteket
Mindez jól hangzik ... De hogyan tudjuk megvédeni?
Miért támadó nem lehallgatott jegyek mondani, hogy „Hi Print Service PS, Tom vagyok”?
A kulcs - ez jó ... A kulcsok - ez a következő része a Marlezonskogo Balett
biztonságos hitelesítés
Azt akarjuk, hogy képes legyen azonosítani egymással egy biztonságos hálózat; Ezt megtehetjük, ha:
- Egyetértünk a titkosítási algoritmus
- Egyetértünk a titkos kulcs
- Elfogadom adatkommunikáció
Például: Azt mondom, hogy megtalálja nekem az üdvözlő üzenetet dekódolni DES'om és 56 bites kulcsot, amelyről csak a te és én, és ha azt mondja: „Az idő az X”, akkor én tényleg Biztonságos önmaguk azonosítására, például az interneten keresztül
Kerberos és AD ...
Egyetértünk abban, hogy:
- A titkosító algoritmus: RC4-HMAC
- Megosztott titok: hagyjuk, hogy a KDC hogy hozzon létre egy random 128 bites kulcsot, és adja át csak mi
- felismerés adat: egység, az úgynevezett „hitelesítő”
Amikor a „hitelesítő” átírt, bizonyítania kell, hogy a másik, hogy tudjuk, megosztott titkos kulcs
Gyakori gombok is használhatók ...
Miután megkapta a közös kulcs, amely több, vagy akik nem tudják a kliens és a szerver nem más dolog mellett a hitelesítés, mint például:
- Az SMB-aláírás
- Biztonságos (titkosított) ülés
- Az Exchange kulcsok IPsec AH vagy ESP (aláírás és titkosítás)
- Bármilyen más formában aláírása vagy titkosítása
A másik követelmény kulcsokhoz
Jó lenne, ha a kulcs, hogy az általunk használt nem volt ugyanaz minden alkalommal
Ehelyett, ha szükséges, hogy beszéljen, hogy jobb lenne, ha valahogy megállapodtak a legfontosabb, hogy érvényes csak néhány óra, és soha többé nem látja őt használni - a kulcs az ülés
Egy ilyen kulcs nevezzük kulccsal ( "Session Key")
Kerberos Cél Hogyan lehet a kulcs nélkül a lehallgatás?
Megegyeztünk a tartalmát a hitelesítő, hogy titkosítani egyeztetett algoritmus
Minden, amire szükségünk van:
- A szerver generál egy véletlen esemény kulcsot, amely csak néhány órával
- Eljárás közvetíteni nektek és nekem azok a gombok nélküli lehallgatás
Ez teszi Kerberos. Rendszeresen.
Key gyűjtemény - I. rész: A munkamenet kulcs jegybiztosító jegy
Emlékezz jegyek - első TGT, akkor a szolgáltató jegy? Most tekintsük a része a kulcs
Amikor Tom kérdezi TGT az AS szerint ez a valóságban. Azt kérdezi, két dolgot:
- TGT, amit tesz TGS, amikor szüksége volt egy Jegyiroda és
- Különleges esemény kulcs „csak ma”, csak általa ismert és KDC
Itt van, hogyan működik (több részlet, de még egy kicsit egyszerűsített)
AS létrehoz egy közös kulccsal
Tom kap egy TGT és session key
Mi elértük ezt?
Az első helyen - volt közös kulccsal ( „ma”) között KDC és Tom
Második - kapott adatszerkezet (TGT), amely csak dekódolni az KDC
Mivel csak a KDC létrehozhat egy TGT és TGT tartalmaz egy „kulcs” dátum Tom-KDC Tom tud mutatni egy TGT ha azt akarja, hogy emlékeztesse a KDC, ők már közölték
És KDC nem kell elfelejteni, hogy Tom ma hitelesített
Key gyűjtemény - Part II: előállítás Jegyiroda a munkaállomás
Következő ne feledjük, hogy Tom szükséges Jegyiroda a munkahelyén tartózkodik, emiatt TGT a jegybiztosító Service
De hogyan TGS biztos lehet abban, hogy valaki nem fogott TGT Tom, és elküldte azt a TGS?
Ezt úgy érjük el a hitelesítő ( „Hitelesítő”) - a tartalmazó adatszerkezet, önmagában többek között az időbélyegző, a titkosított kulcs Tom-KDC
Tom kérdezi ST
TGS ellenőrzi Tom kérés
TGS teremt ST TOMSPC
Tom kap egy új kulcsot
Tom hitelesítve TOMSPC
Tom jött
Csakúgy, mint az AS és TGS, Workstation Service on TOMSPC megnyílik egy jegyet, mert titkosított jelszavával TOMSPC
TOMSPC belül TPC-Tom kulcsot használnak, hogy nyissa ki a hitelesítő
Ezután TOMSPC ellenőrzi az időbélyegző, láthatjuk, hogy jól van
A másik dolog a jegyeket - emlékszik hitelesítő? Azt bizonyítja, hogy a szolgáltatás a felhasználó, sőt, akik közül az egyik azt állítja, hogy
A Kerberos, akkor kérheti további szolgáltatás küld vissza a timestamp, titkosított kapcsolat kulcsot - a kölcsönös hitelesítés ( „a kölcsönös hitelesítés”)
Ezek a gombok arra szolgálnak, hogy a felhasználók formájában jegyek
A tagok azt állítják, hogy ők a jogos tulajdonosok jegyek felhasználásával authenticators
Kerberos csak akkor működik, AD; modern rendszerek továbbra is használhatja az LM, NTLM vagy NTLMv2 hitelesítést
további anyagok
Hogy a Kerberos V5 hitelesítési protokoll Works
Csapatblogodban Kérdezze a Directory Services
IIS és a Kerberos Ken Schaefer
Remélem, ez hasznos volt, és érdekes
[email protected]
Központ a játéktér gyermek támogatása GBOU Óvoda №1492
Kérjük, ne szidja a gyereket, amiért megértését jelenti hibát, hanem dicsérni a jó szerencsét! Beszélgetések másokkal.
Turizmus - Turizmus egy modern út - a modern utazási
Utazás szó régi, tágas, sorkatonai szolgálat. Szótár VI Dahl határozza meg, mint a „zarándoklat, strannichane, séta vagy lovaglás.
Tudtad, hogy Ön jogosult adókedvezményekkel? Mi ez?
A doboz maradt egy megjegyzés, amely a következő: „Kérem, vigyázzon rám.” A rendőrség bekapcsolta a rádiót kínál.
Kérjük, válasszon az alábbi lehetőségek közül: Kérjük, válasszon az alábbi lehetőségek közül
HR outsourcing és előnyök adminisztráció gyakran kiszervezik egy külső szolgáltató
„Utazás a Astrakhan tartományban.” különjárat
Diploma, és ez megerősíti, hogy küldött felderítő Galina Vladimirovna a XXI században egy leckét a 8. évfolyamon, annak érdekében, hogy menjen el a gyerek.