ドメインにないワークステーションのKerberos認証

8

Active Directory環境でのKerberosの動作と、ユーザーおよびワークステーションをネットワークに認証するために使用する方法について基本的な理解がありますが、私の質問です。Kerberosは、エンドユーザーがアクセスするために使用するセキュリティトークンの発行に依存しているためです。ネットワークリソース、ドメインにないシステム(ラップトップ)は、Active Directoryユーザーのユーザー名とパスワードのみを使用して同じネットワークリソースにアクセスできますか?

ユーザー資格情報を使用するだけでKerberosがセキュリティトークンを生成してシステムに発行する方が理にかなっていると思いますが、非ドメインシステムがネットワークリソースにアクセスできないようにするには、セキュリティを強化する必要があります。

誰かが私を啓発できたら、私はそれを感謝します!

active-directory  domain  authentication  kerberos  authorization 
エリック
ソース
愚かな質問.. Active Directory環境でのKerberosの使用.. NTLMを有効にする必要はありますか?無効にできると確信しているわけではありませんが、リンク先のwikiページjoeqwertyで、Microsoftはその使用を推奨していないと述べています。
Eric
名前ではなくサーバー(たとえば、\\ 10.12.181.29)を参照すると、NTLMにフォールバックします。kerberosは、証明書に一致するサーバーの名前に依存しているためです。
Ian Boyd

回答:

5

ドメインにないシステム(ラップトップ)は、Active Directoryユーザーのユーザー名とパスワードのみを使用して同じネットワークリソースにアクセスできますか?

関係する「ネットワークリソース」によって異なります。ログインしているドメインに参加しているWindowsコンピューターでは、少なくとも2つのクライアントKerberos IDが使用されています。

  • あなた、user @ DOMAIN
  • コンピュータ、ワークステーション$ @ DOMAIN

host / workstation @ DOMAINもありますが、これは通常、ホストで実行されているサービスの識別であり、他の場所からアクセスされます。ホストの特権プロセスが何かを実行したい場合(たとえば、Kerberos認証の動的DNSを使用してDNSにその名前を追加した場合)、そのIDを使用して、workstation $ @ DOMAINを作成します。もしあなたのログインセッションへのアクセス中にいくつかのリソースを自分場合は、しかし- CIFSネットワーク共有を言う、またはHTTP URLを認証された-その後、クライアントIDがある、あなたの(DOMAIN @ユーザー、プリンシパル名は、使用して自動的に取得される資格情報ログインのために入力したパスワード)。あなたの質問から、あなたはいくつかの組み合わせが関係していると考えているようです。そうではありません、彼らは別々です。

これが、Kerberosを使用して他のプラットフォームからWindowsベースのリソースにアクセスするのに問題がない理由です。Linuxボックスに「kinit user」と入力し、パスワードを入力してドメインコントローラーからKerberos資格情報(TGT)を取得し、Firefoxを使用してIISのKerberos認証されたWebページにアクセスすることもできます。これらすべてのプロトコルは標準であり、ユーザー資格情報以外は何も必要ありません。

以前の回答では、この場合NTLMが必要であると主張していました。これは誤りです(確かに使用される可能性があります)。ただし、ドメイン以外のコンピューターからリソースにアクセスし、ユーザー名とパスワードの入力を求められた場合、実際に使用されている認証方法を必ずしも知っているとは限りません。Kerberosを使用する場合があります。また、パスワードベースのメカニズムにフォールバックして、ユーザー名とパスワードを検証のためにサーバーに送信し、パスワードをキャッシュして、再入力する必要がないようにすることもできます。多くのプロトコルは、SASLのような抽象化スキームを介して両方を許可します。何が起こっているのかを確認するには、回線を調べる必要があります。

リチャードEシルバーマン
ソース
Kerberosが使用された場合は、後で「klist」コマンドを使用して、キャッシュされたサービスチケットを確認できます。これなしにアクセスしてサービスチケットがキャッシュされる場合は、代わりにNTLMを使用している可能性があります。本当にKerberosを使用したことを確認するには、おそらくNTLMを無効にする必要があります(Windowsがサービスチケットを取得した後でも、KerberosからNTLMにフォールバックできる場合)。
Markus Kuhn
1

以下の手順は、Windows 7/10(おそらく他の)クライアントからKerberosを使用してSambaサーバーに認証する方法です。他のバージョンのクライアントとサーバーについてはテストしていません。

Windowsクライアントで、「管理者として実行」cmd.exe。次に、このコマンドを入力して、Kerberos REALM.COMのKerberosドメインコントローラー(KDC)の知識をWindowsに提供します。

KDCがDNSにある場合:

ksetup /addkdc REALM.COM

さもないと:

ksetup /addkdc REALM.COM kdc01.realm.com

(存在する場合は、領域REALM.COMのKDCをさらに入力します。また、いずれかのスタイルで他の領域を追加できます。)

次に、エクスプローラーを使用して、目的のネットワーク共有にアクセスします。(例:\\samba.realm.com\shareアドレスバー)。共有が保護されている場合は、パスワードプロンプトが開きます。

ユーザー名にレルムを指定する必要があります。これは、どちらかのように行うことができますuser@REALM.COMREALM.COM\user

次にパスワードを入力します。

Lickdragon
ソース
0

ドメイン以外のワークステーションで動作するKerberosを使用できるシステムが少なくとも1つわかっています。このアプリケーションの名前は「SAP NETWEAVERポータル」です。ワークステーションとドメインコントローラーの間にあるWebアプリケーションにログインすると、ワークステーションと通信でネットワークスニッフィングを実行しました。その前に、ユーザー名フィールドに渡したドメインのsrv _krbレコードに対するDNSクエリ(FQDNドメイン形式である必要があります(例:mydomain.local \ myusername))が作成されます。その後、いくつかのkerberosフレームが発生します。

KatTer
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.