web-dev-qa-db-ja.com

ドメインにないワークステーションのKerberos認証

Active Directory環境でのKerberosの動作と、ユーザーとワークステーションをネットワークに認証するために使用する方法について基本的な理解がありますが、私の質問です。Kerberosは、エンドユーザーがアクセスするために使用するセキュリティトークンの発行に依存しているためですネットワークリソース、ドメインにないシステム(ラップトップ)は、Active Directoryユーザーのユーザー名とパスワードだけを使用して同じネットワークリソースにアクセスできますか?

ユーザー資格情報を使用するだけで、Kerberosがセキュリティトークンを生成してシステムに発行する方が理にかなっていると思いますが、非ドメインシステムがネットワークリソースにアクセスしないようにするには、セキュリティを強化する必要があります。

誰かが私を啓発できたら、私はそれを感謝します!

8
Eric
3
joeqwerty

ドメインにないシステム(ラップトップ)は、Active Directoryユーザーのユーザー名とパスワードのみを使用して同じネットワークリソースにアクセスできますか?

関係する「ネットワークリソース」によって異なります。ログインしているドメインに参加しているWindowsコンピューターでは、少なくとも2つのクライアントKerberos IDが使用されています。

  • あなた、user @ DOMAIN
  • コンピュータ、ワークステーション$ @ DOMAIN

Host/workstation @ DOMAINもありますが、これは通常、他の場所からアクセスされる、ホスト上で実行されているサービスのIDです。ホストの特権プロセスが何かを実行したい場合(たとえば、Kerberos認証された動的DNSを使用してDNSにその名前を追加した場合)、そのIDを使用して、workstation $ @ DOMAINを作成します。ただし、ログインセッションで自分のリソースに自分でアクセスした場合(CIFSネットワーク共有や認証済みのHTTP URLなど)、クライアントIDはyourプリンシパル名、user @ DOMAIN(資格情報ログインに入力したパスワードを使用して自動的に取得されます)。あなたの質問から、あなたはいくつかの組み合わせが関与していると考えているようです。そうではありません、彼らは別々です。

これが、Kerberosを使用して他のプラットフォームからWindowsベースのリソースにアクセスするのに問題がない理由です。 Linuxボックスに「kinit user」と入力し、パスワードを入力してドメインコントローラーからKerberos資格情報(TGT)を取得し、Firefoxを使用してIISのKerberos認証されたWebページにアクセスすることもできます。これらすべてのプロトコルは標準であり、ユーザー資格情報以外は何も必要ありません。

以前の回答では、この場合NTLMが必要であるとされていました。それは誤りです(確かに使用される可能性があります)。ただし、ドメイン以外のコンピューターからリソースにアクセスし、ユーザー名とパスワードの入力を求められた場合、実際に使用されている認証方法は必ずしもわかりません。 Kerberosを使用する場合があります。また、パスワードベースのメカニズムにフォールバックして、ユーザー名とパスワードを検証のためにサーバーに送信し、パスワードをキャッシュして、再入力する必要がないようにすることもできます。多くのプロトコルは、SASLのような抽象化スキームを介して両方を許可します。何が起こっているのかを確認するには、回線を調べる必要があります。

以下の手順は、Windows 7/10(多分他の)クライアントからKerberosを使用してSambaサーバーに認証する方法です。他のバージョンのクライアントとサーバーについてはテストしていません。

Windowsクライアントで、「管理者として実行」cmd.exe。次に、このコマンドを入力して、WindowsにKerberos REALM.COMのKerberosドメインコントローラー(KDC)の知識を提供します。

KDCがDNSにある場合:

ksetup /addkdc REALM.COM

さもないと:

ksetup /addkdc REALM.COM kdc01.realm.com

(レルムREALM.COMのKDCが存在する場合は、それを追加します。また、いずれかのスタイルで他のレルムを追加できます。)

次に、エクスプローラーを使用して、目的のネットワーク共有にアクセスします。 (例:アドレスバーの\\samba.realm.com\share。)共有が保護されている場合、パスワードプロンプトが開きます。

ユーザー名にレルムを指定する必要があります。これは、[email protected]またはREALM.COM\userのように行うことができます。

次にパスワードを入力します。

1
lickdragon

ドメイン以外のワークステーションで動作するケルベロスを使用できるシステムが少なくとも1つわかっています。このアプリケーションの名前は「SAP NETWEAVERポータル」です。ワークステーションとドメインコントローラーの間にあるWebアプリケーションにログインすると、ワークステーションと通信でネットワークスニッフィングを実行しました。その前に、ユーザー名フィールドに渡したドメインのsrv _krbレコードのDNSクエリ(FQDNドメイン形式、たとえばmydomain.local\myusernameである必要があります)が作成されます。その後、いくつかのkerberosフレームが発生します。

0
KatTer