Pobierz prezentację
Pobieranie prezentacji. Proszę czekać
1
Konsultant | Microsoft
Kerberos udomowiony TOMASZ ONYSZKO Konsultant | Microsoft Start
2
Kontakt Blog:
4
(cc) Josh Mishell
5
Kerberos Protokół uwierzytelnienia Stworzony przez MIT (RFC 4120)
Silne uwierzytelnienie oparte na współdzielonym „kluczu” Cross platform Pozwala na realizacje scenariuszy SSO
6
Kerberos a Windows … Zaimplementowany od Windows 2000
Każdy kontroler domeny to „Serwer” – Key Distribution Center (KDC) Udostępniony w systemie dla aplikacji przez Security Support Provider Interface (SSPI) Domyślny SSP dla Windows
7
SSPI (GSSAPI) RPC .NET Framework Internet Explorer SSPI Negotiated
Kerberos NTLM Digest …
8
(cc) Rob Watling
9
Aktorzy Klient KDC Usługa Wymaga uwierzytelnienia Kerberos
Authentication Service (AS) Ticket Granting Service (TGS) Usługa Wymaga uwierzytelnienia Kerberos
10
TGT == Ticket Granting Ticket
#1 - Uwierzytelnienie KRB_AS_REQ KRB_AS_REP TGT == Ticket Granting Ticket
11
Dane autoryzacji (PAC)
Ticket Kerberos ticket - RFC 1510 (version 5) Realm Nazwa serwera \ usługi Klucz sesji Flagi Nazwa klienta Realm klienta Czas wygaśnięcia Dane autoryzacji (PAC) (…)
12
Privilege Attribute Certificate
Informacja autoryzacyjna PAC zawiera: SID użytkownika SID grup użytkownika (cross forest) Tworzony w chwili wystawienia TGT Duży PAC KRB5KRB_ERR_RESPONSE_TOO_BIG MaxTokenSize (KB )
13
TGS == Ticket Granting Service
#2 – Dostęp do usługi KRB_TGS_REQ KRB_TGS_REP TGS == Ticket Granting Service
14
#2 – Dostęp do usługi http://www.w2k.pl
KRB_AP_REQ Skąd KDC wiedział do której usługi chce się dostać użytkownik i którego użyć klucza??
15
Service Principal Name
Używane do zlokalizowania kont usługi Format: <przedrostek usługi>/<nazwa>[:port] Przechowywane w katalogu Atrybut servicePrincipalName Domyślnie dostępny dla Domain Admin Zdefiniowana delegacja w Windows 2008 R2
16
(cc) Now picnic
17
#3 – Delegacja (S4U2Proxy)
KRB_AP_REQ KRB_TGS_REQ KRB_CRED KRB_TGS_REP
18
Wymagania Aby delegacja zadziałała Poprawne rozwiązywanie nazw DNS
Konto usługi oznaczone jako „Trusted for delegation” Poprawna konfiguracja SPN dla wszystkich kont biorących udział w delegacji Konfiguracja przeglądarki !!! + opcje specyficzne dla aplikacji
19
Konfiguracja SPN #1 CN=WWW$: http/www.w2k.pl http/www CN=SQL$:
MSSQLSvc/SQL.W2K.PL MSSQLSvc/SQL
20
Konfiguracja SPN #2 CN=WWW1$: http/www.w2k.pl http/www CN=WWW2$:
CN=SQL$: MSSQLSvc/SQL.W2K.PL MSSQLSvc/SQL
21
Konfiguracja SPN #2 CN=AppPoolAccount CN=SQL$: http/www.w2k.pl
MSSQLSvc/SQL.W2K.PL MSSQLSvc/SQL
22
(cc) Now picnic
23
(cc) r00pert
24
Internet Explorer 6 Żądanie dostępu do SPN bez numeru portu (KB ) Użycie CNAME przy dostępie do usługi (KB )
25
KDC_ERR_PREAUTH_REQUIRED
Przyczyna Żądanie nie zawiera danych pre-authentication Problem Występuje gdy żądanie nie jest ponawiane poprawnie Możliwe błędy uwierzytelnienia
26
KDC_ERR_PREAUTH_REQUIRED
Rowiązanie Poprawna konfiguracja klienta Wyłączenie wymagania pre-authentication dla konta Narzędzia Network monitor
27
KRB_ERR_RESPONSE_TOO_BIG
Przyczyna PAC jest zbyt duży dla transportu UDP Problem Występuje gdy nie jest możliwe przełączenie się na transport TCP Możliwe błędy uwierzytelnienia
28
KRB_ERR_RESPONSE_TOO_BIG
Rozwiązanie Zmiana transportu na TCP (KB ) Zmniejszenie PAC (KB ) Narzędzia: Network monitor TokenSz.exe
29
KDC_ERR_ETYPE_NOTSUPP
Przyczyna Niekompatybilność protokołów szyfrowania pomiędzy klientem a KDC Wprowadzenie AES w Vista \ Windows 2008 (RFC 3962) Problem Brak możliwości uzyskania biletów
30
KDC_ERR_ETYPE_NOTSUPP
Rozwiązanie Konfiguracja zgodnych protokołów klient <-> KDC ms-DS-Supported-Encryption-Types Narzędzia Event Viewer (EventID: 27, KDC) REGEDIT.EXE (pre-Win7) Group Policy (Win7) Network Monitor
31
KDC_ERR_S_PRINCIPAL_UNKNOWN
Przyczyna Brak lub duplikaty SPN dla kont usług Problem Nie działające mechanizmy uwierzytelnienia Kerberos Brak dostępu do usług
32
KDC_ERR_S_PRINCIPAL_UNKNOWN
Rozwiązanie Poprawna konfiguracja SPN Narzędzia Setspn.exe (preferowane z Windows 2008 R2) Dowolny klient LDP (LDP.EXE, ADFIND.EXE) Event Viewer (EventID:11, KDC) Network Monitor
33
(cc) Now picnic
34
Rozwiązywanie problemów
Network monitor prawdę Ci powie Setspn.exe lub dowolny klient LDAP pozwoli zdiagnozować problemy z SPN Klient pełni kluczową rolę w komunikacji związanej z Kerberos
35
Rozwiązywanie problemów
(…) If there is a problem … it’s about SPNs If not … it’s about SPNs (…) Master Matjaz
36
(cc) bitzcelt
37
Dlaczego Kerberos Bezpieczny protokół uwierzytelnienia
Interoperacyjność SSO Redukcja NTLM Windows 7 \ Windows 2008 R2
38
NTLM
40
(cc) massdistraction
41
Oceń moją sesję Ankieta dostępna na stronie www.mts2009.pl
Wygraj wejściówki na następny MTS! Speakers: Please do not remove nor edit this slide! This is information about evaluation form.
43
Referencje How the Kerberos Version 5 Authentication Protocol Works
S4U2proxy- Kerberos Protocol Extensions: Service for User and Constrained Delegation Protocol Specification DelegConfig Internet Explorer and SPNs IE does not include port number in SPN IE builds SPN based on A record not alias S4U2proxy-
44
Referencje Kerberos Technical Supplement for Windows
How to troubleshoot Kerberos-related issues in IIS Troubleshooting Kerberos Errors Troubleshooting Kerberos Delegation NMCap: the easy way to Automate Capturing S4U2proxy-
Podobne prezentacje
© 2024 SlidePlayer.pl Inc.
All rights reserved.