Kerberos共有秘密鍵の作成
ケルベロスについて私が完全に理解していないことが3つあります。
ADドメインに新しいサーバーを追加するとします。 KDCはこのサーバーの共有シークレットを作成し、このキーはどのようにしてサーバーに安全に送信されますか?
ADドメインのメンバーであるユーザーがいます。ユーザーは秘密鍵(パスワード)を持っていて、それを変更しています-データベースを更新するためにKDCに安全に渡すにはどうすればよいですか?
各DCはKDCを持つことができます(または必要になる可能性があります)ので、KDCデータベースは各DC間で複製されますか?はいの場合、これはどのように保護されますか?
ADの各プリンシパル(ユーザー、マシン、サービス、信頼オブジェクト)にはパスワードがあり、これらの各オブジェクトには、このパスワードのいくつかの異なるハッシュタイプ(MD4、AES、DESなど)があります。ハッシュされた値は、認証の対称鍵として使用されます。認証は通常、トランスポート暗号化用のセッションキーを生成します。
そう...
- デバイスをドメインに参加させる場合別のアカウントは安全なチャネルを設定するために使用されます。その安全なチャネルにより、デバイスは独自のデバイスパスワードを送信できます。次に、KDCが(有効期限ウィンドウを介して)要求すると、デバイスは定期的にパスワードを変更します。
- ユーザーは通常どおり認証され、セッションキーが生成されます。このセッションキーは、クリアテキストパスワードを含むパスワード変更要求を暗号化します。 KDCは、セッションキーを認識しているため、要求を復号化し、パスワードの変更を試みて、アカウントのさまざまなハッシュを生成できます。
- 通常、すべてのデータが同期されますが、読み取り専用DCの場合など、データのサブセットのみが同期される場合もあります。これは主にデータベースレプリケーションの機能にすぎません。各DCにはマシンシークレットがあり、ピアDCに対して認証されます。認証により、レプリケーショントラフィックを保護するために使用されるセッションキーが生成されます。