Otentikasi Kerberos untuk workstation bukan pada domain


8

Saya memiliki pemahaman dasar tentang bagaimana Kerberos bekerja di lingkungan Active Directory dan metode yang digunakannya untuk mengotentikasi pengguna dan workstation ke jaringan, tetapi pertanyaan saya adalah .. karena Kerberos bergantung pada penerbitan token keamanan yang kemudian digunakan pengguna akhir untuk mengakses sumber daya jaringan, bagaimana sistem (laptop) yang tidak berada di domain dapat mengakses sumber daya jaringan yang sama hanya dengan menggunakan nama pengguna dan kata sandi dari pengguna direktori aktif?

Saya kira itu akan lebih masuk akal jika hanya menggunakan kredensial pengguna, Kerberos menghasilkan token keamanan dan mengeluarkannya ke sistem, tetapi sepertinya ada lebih banyak keamanan di sana untuk mencegah sistem nondomain mengakses sumber daya jaringan.

Jika ada yang bisa mencerahkan saya, saya akan menghargainya!


Pertanyaan bodoh .. dengan penggunaan Kerberos di lingkungan Active Directory .. apakah perlu untuk mengaktifkan NTLM? Bukannya saya sepenuhnya yakin itu bisa dinonaktifkan, tapi saya perhatikan di halaman wiki joeqwerty yang ditautkan dengan mengatakan Microsoft tidak merekomendasikan penggunaannya.
Eric

Jika Anda menjelajah ke server bukan dengan nama (mis. \\ 10.12.181.29) maka Anda akan mundur ke NTLM; karena kerberos tergantung pada nama server yang cocok dengan sertifikat mereka.
Ian Boyd

Jawaban:



5

bagaimana sistem (laptop) yang berada di domain tidak dapat mengakses sumber daya jaringan yang sama hanya menggunakan nama pengguna dan kata sandi dari pengguna direktori aktif?

Itu tergantung pada "sumber daya jaringan" yang terlibat. Di komputer Windows yang bergabung dengan domain yang Anda gunakan untuk masuk, setidaknya ada dua identitas Kerberos klien yang sedang dimainkan:

  • Anda, pengguna @ DOMAIN
  • komputer, workstation $ @ DOMAIN

Ada juga host / workstation @ DOMAIN, tapi itu umumnya identifikasi layanan yang berjalan di host, sedang diakses dari tempat lain. Jika proses istimewa pada host ingin melakukan sesuatu - katakan, tambahkan namanya ke DNS menggunakan DNS dinamis terautentikasi Kerberos - itu akan menggunakan identitasnya untuk melakukannya, workstation $ @ DOMAIN. Namun, jika Anda dalam sesi login Anda mengakses beberapa sumber daya sendiri - katakanlah berbagi jaringan CIFS, atau URL HTTP yang diautentikasi - maka identitas klien adalah nama utama Anda , pengguna @ DOMAIN (kredensial yang diperoleh secara otomatis untuk Anda menggunakan kata sandi yang Anda masukkan untuk masuk). Dari pertanyaan Anda, Anda tampaknya berpikir bahwa beberapa kombinasi terlibat; bukan, mereka terpisah.

Inilah sebabnya mengapa tidak ada masalah menggunakan Kerberos untuk mengakses sumber daya berbasis Windows dari platform lain. Anda juga dapat mengetik "pengguna kinit" pada kotak Linux, masukkan kata sandi Anda untuk mendapatkan kredensial Kerberos (TGT) dari pengontrol domain, dan kemudian menggunakan Firefox untuk mengakses halaman web terautentikasi Kerberos di IIS. Protokol untuk semua ini adalah standar, dan Anda tidak memerlukan apa pun kecuali kredensial pengguna Anda.

Jawaban sebelumnya mengklaim bahwa NTLM diperlukan dalam kasus ini; itu salah (meskipun tentu itu dapat digunakan). Namun, ketika Anda mengakses beberapa sumber daya dari komputer non-domain dan diminta untuk nama pengguna dan kata sandi Anda, Anda tidak perlu tahu metode otentikasi apa yang sebenarnya digunakan. Mungkin menggunakan Kerberos. Mungkin juga jatuh kembali ke mekanisme berbasis kata sandi di mana ia mengirimkan nama pengguna dan kata sandi Anda ke server untuk verifikasi, dan kemudian men-cache kata sandi Anda sehingga Anda tidak perlu memasukkannya kembali. Banyak protokol memungkinkan keduanya melalui skema abstraksi seperti SASL. Anda harus melihat di kawat untuk melihat apa yang terjadi.


Jika Kerberos digunakan, maka Anda kemudian dapat melihat tiket layanan yang di-cache dengan perintah "klist". Jika Anda mendapat akses tanpa ini menyebabkan tiket layanan di-cache, Anda kemungkinan menggunakan NTLM sebagai gantinya. Untuk benar-benar mengkonfirmasi bahwa Anda menggunakan Kerberos, Anda mungkin harus menonaktifkan NTLM (jika Windows masih dapat kembali dari Kerberos ke NTLM setelah mendapatkan tiket layanan).
Markus Kuhn

1

Instruksi di bawah ini untuk cara mengotentikasi ke server Samba menggunakan Kerberos dari klien Windows 7/10 (mungkin orang lain). Saya belum menguji versi klien dan server lain:

Pada klien Windows, "Run As Administrator" cmd.exe. Kemudian masukkan perintah ini untuk memasok Windows dengan pengetahuan tentang pengontrol domain Kerberos (KDC) untuk kerberos REALM.COM.

Jika KDC ada di DNS:

ksetup /addkdc REALM.COM

Jika tidak:

ksetup /addkdc REALM.COM kdc01.realm.com

(Masukkan lebih banyak KDC untuk realm REALM.COM jika ada. Juga, dapat menambahkan ranah lain dalam gaya mana pun.)

Kemudian gunakan Explorer untuk mengakses pangsa jaringan yang diinginkan. (Misalnya \\samba.realm.com\sharedi bilah alamat.) Prompt kata sandi akan terbuka jika bagian itu dilindungi.

Anda harus menentukan ranah di nama pengguna. Ini bisa dilakukan suka user@REALM.COMatau tidak REALM.COM\user.

Lalu masukkan kata sandi.


0

Saya tahu setidaknya satu sistem yang dapat menggunakan kerberos yang bekerja dari workstation non domain. Nama aplikasi ini adalah "SAP NETWEAVER Portal". Saya melakukan beberapa mengendus jaringan pada workstation dan komunikasi, ketika saya masuk ke aplikasi web yang antara workstation dan pengontrol domain. Sebelumnya, permintaan dns untuk catatan srv _krb domain yang saya berikan ke bidang nama pengguna (harus berupa format domain FQDN, mis. Mydomain.local \ myusername) dibuat. Setelah itu, beberapa frame kerberos terjadi.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.