kerberos 认证流程-理解
kerberos 认证理解
一、认证过程
1) AS-REQ(请求)
域内的用户向 KDC(域控服务器)发送请求包,告诉域控,我要获得访问服务的票据。
请求包: 用户名,主机名,认证因子 Authenticator(由客户端用户 hash 加密的时间戳等信息),其他信息
2)AS-REP(响应)
- KDC 接受到客户端的请求包。
- KDC 判断用户是不是有效的域用户 , 是就进行下一步校验
- KDC 在自己的 AD 库里查找该用户的 hash,解密
Authenticator, 完成认证,并校验时间戳是不是在 5 分钟以内。 都满足就进行响应 - KDC 请客户端发送两个票据
TGT:是由krbtgt用户的 hash 加密的login session key和客户端的信息等- 第二个就是
用户hash加密的login session key
3)TGS-REQ(请求)
- 客户端收到两个票据后,用
自己的hash解密第二个票据,拿到login session key,并缓存起来 - 用
login session key加密时间戳和一些其他信息生成认证因子 Authenticator - 向 TGS 发送
Authenticator+TGT+SeverID(要访问服务的标识)
4)TGS-REP(响应)
- TGS 收到客户端发来的三个信息
- 用自己的
krbtgt用户的hash解密TGT获得login session key,再用 login session key 解密认证因子 Authenticator 认证客户端,并判断时间戳是不是在 5 分钟以内 - 在 AD 数据库里查找
ServerID对应的 hash 值,并随机生成一个server session key - 向客户端发送两个票据
ST: 由Server hash加密的server session key和其他信息- 由
login session key加密的server session key等信息
5)AP-REQ(请求)
- 客户端收到两个票据
- 用缓存的
login session key解密server session key - 用
sever session key加密时间戳等信息,再次生成认证因子Authenticator - 把
ST+Authenticator发送给要访问的服务器Server
6)AP-REP(响应)
- 服务器 Server 收到
ST和Authenticator - 服务器用自己的 hash 解密
ST,拿到 server session key 。 - 用 server session key 解密 Authenticator 完成认证,并校验时间戳是不是在 5 分钟以内
- 向客户端回复校验成功
二、简单理解两种票据
黄金票据:就是在攻击者获得了 krbtgt 用户的 hash 值,跳过前两步的认证,直接伪造第三步(TGS-REQ)的信息。发送给 TGS 之后合规的签发 ST 去访问服务 (可以访问域内任意服务)
白银票据:攻击者通过服务器的 server hash,伪造第五步(AP-REQ)的请求信息,发送给服务器,已获得访问服务的权限 (可以访问某一特定服务)
黄金票据和白银票据的区别在于访问的范围不同,而不是权限不同。
本文作者:Ling-X5
本文链接:https://www.cnblogs.com/LINGX5/p/18390602
版权声明:本作品采用知识共享署名-非商业性使用-禁止演绎 2.5 中国大陆许可协议进行许可。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· DeepSeek 开源周回顾「GitHub 热点速览」
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布:重大改进与新特性概览!
· AI与.NET技术实操系列(二):开始使用ML.NET
· 单线程的Redis速度为什么快?