Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Kerberos udomowiony TOMASZ ONYSZKO Konsultant | Microsoft Start.

Podobne prezentacje


Prezentacja na temat: "Kerberos udomowiony TOMASZ ONYSZKO Konsultant | Microsoft Start."— Zapis prezentacji:

1 Kerberos udomowiony TOMASZ ONYSZKO Konsultant | Microsoft Start

2 Kontakt Blog:

3

4 (cc) Josh MishellccJosh Mishell

5 Kerberos Protokół uwierzytelnienia Stworzony przez MIT (RFC 4120)RFC 4120 Silne uwierzytelnienie oparte na współdzielonym kluczu Cross platform Pozwala na realizacje scenariuszy SSO

6 Kerberos a Windows … Zaimplementowany od Windows 2000 Każdy kontroler domeny to Serwer – Key Distribution Center (KDC) Udostępniony w systemie dla aplikacji przez Security Support Provider Interface (SSPI) Domyślny SSP dla Windows

7 SSPI (GSSAPI) SSPI NegotiatedKerberosNTLMDigest… RPC.NET FrameworkInternet Explorer

8 (cc) Rob WatlingccRob Watling

9 Aktorzy

10 KRB_AS_REQ #1 - Uwierzytelnienie KRB_AS_REP TGT == Ticket Granting Ticket

11 Ticket Kerberos ticket - RFC 1510 (version 5) Realm Nazwa serwera \ usługi Klucz sesji Nazwa klienta Realm klienta Czas wygaśnięcia Dane autoryzacji (PAC) Flagi (…)

12 Privilege Attribute Certificate Informacja autoryzacyjna PAC zawiera: SID użytkownika SID grup użytkownika (cross forest) Tworzony w chwili wystawienia TGT Duży PAC KRB5KRB_ERR_RESPONSE_TOO_BIG MaxTokenSize (KB )KB

13 #2 – Dostęp do usługi KRB_TGS_REQ KRB_TGS_REP TGS == Ticket Granting Service

14 #2 – Dostęp do usługi KRB_AP_REQ Skąd KDC wiedział do której usługi chce się dostać użytkownik i którego użyć klucza??

15 Service Principal Name Używane do zlokalizowania kont usługi Format: / [:port] Przechowywane w katalogu Atrybut servicePrincipalName Domyślnie dostępny dla Domain Admin Zdefiniowana delegacja w Windows 2008 R2

16 (cc) Now picnicccNow picnic

17 #3 – Delegacja (S4U2Proxy) KRB_CRED KRB_TGS_REQ KRB_TGS_REP KRB_AP_REQ

18 Wymagania Aby delegacja zadziałała Poprawne rozwiązywanie nazw DNS Konto usługi oznaczone jako Trusted for delegation Poprawna konfiguracja SPN dla wszystkich kont biorących udział w delegacji Konfiguracja przeglądarki !!! + opcje specyficzne dla aplikacji

19 Konfiguracja SPN #1 CN=WWW$:http/www.w2k.plhttp/wwwCN=SQL$:MSSQLSvc/SQL.W2K.PLMSSQLSvc/SQL

20 Konfiguracja SPN #2 CN=WWW1$:http/www.w2k.plhttp/www CN=SQL$:MSSQLSvc/SQL.W2K.PLMSSQLSvc/SQL CN=WWW2$:http/www.w2k.plhttp/www

21 CN=SQL$:MSSQLSvc/SQL.W2K.PLMSSQLSvc/SQL CN=AppPoolAccounthttp/www.w2k.plhttp/www

22 (cc) Now picnicccNow picnic

23 (cc) r00pertccr00pert

24 Internet Explorer 6 Żądanie dostępu do SPN bez numeru portu (KB )KB Użycie CNAME przy dostępie do usługi (KB )KB

25 KDC_ERR_PREAUTH_REQUIRED Przyczyna Żądanie nie zawiera danych pre-authentication Problem Występuje gdy żądanie nie jest ponawiane poprawnie Możliwe błędy uwierzytelnienia

26 KDC_ERR_PREAUTH_REQUIRED Rowiązanie Poprawna konfiguracja klienta Wyłączenie wymagania pre-authentication dla konta Narzędzia Network monitor

27 KRB_ERR_RESPONSE_TOO_BIG Przyczyna PAC jest zbyt duży dla transportu UDP Problem Występuje gdy nie jest możliwe przełączenie się na transport TCP Możliwe błędy uwierzytelnienia

28 KRB_ERR_RESPONSE_TOO_BIG Rozwiązanie Zmiana transportu na TCP (KB )KB Zmniejszenie PAC (KB )KB Narzędzia: Network monitor TokenSz.exe

29 KDC_ERR_ETYPE_NOTSUPP Przyczyna Niekompatybilność protokołów szyfrowania pomiędzy klientem a KDC Wprowadzenie AES w Vista \ Windows 2008 (RFC 3962)RFC 3962 Problem Brak możliwości uzyskania biletów

30 KDC_ERR_ETYPE_NOTSUPP Rozwiązanie Konfiguracja zgodnych protokołów klient KDC ms-DS-Supported-Encryption-Types Narzędzia Event Viewer (EventID: 27, KDC) REGEDIT.EXE (pre-Win7) Group Policy (Win7) Network Monitor

31 KDC_ERR_S_PRINCIPAL_UNKNOWN Przyczyna Brak lub duplikaty SPN dla kont usług Problem Nie działające mechanizmy uwierzytelnienia Kerberos Brak dostępu do usług

32 KDC_ERR_S_PRINCIPAL_UNKNOWN Rozwiązanie Poprawna konfiguracja SPN Narzędzia Setspn.exe (preferowane z Windows 2008 R2) Dowolny klient LDP (LDP.EXE, ADFIND.EXE) Event Viewer (EventID:11, KDC) Network Monitor

33 (cc) Now picnicccNow picnic

34 Rozwiązywanie problemów Network monitor prawdę Ci powie Setspn.exe lub dowolny klient LDAP pozwoli zdiagnozować problemy z SPN Klient pełni kluczową rolę w komunikacji związanej z Kerberos

35 Rozwiązywanie problemów (…) If there is a problem … its about SPNs If not … its about SPNs (…) Master Matjaz

36 (cc) bitzceltccbitzcelt

37 Dlaczego Kerberos Bezpieczny protokół uwierzytelnienia Interoperacyjność SSO Redukcja NTLM Windows 7 \ Windows 2008 R2

38 NTLM

39

40 (cc) massdistractionccmassdistraction

41 Oceń moją sesję Ankieta dostępna na stronie Wygraj wejściówki na następny MTS!

42 © 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone. Microsoft, Windows oraz inne nazwy produktów są lub mogą być znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Microsoft w Stanach Zjednoczonych i innych krajach. Zamieszczone informacje mają charakter wyłącznie informacyjny. FIRMA MICROSOFT NIE UDZIELA ŻADNYCH GWARANCJI (WYRAŻONYCH WPROST LUB DOMYŚLNIE), W TYM TAKŻE USTAWOWEJ RĘKOJMI ZA WADY FIZYCZNE I PRAWNE, CO DO INFORMACJI ZAWARTYCH W TEJ PREZENTACJI.

43 Referencje How the Kerberos Version 5 Authentication Protocol Works S4U2proxy- us/library/cc246079(PROT.10).aspxhttp://msdn.microsoft.com/en- us/library/cc246079(PROT.10).aspx Kerberos Protocol Extensions: Service for User and Constrained Delegation Protocol Specification Kerberos Protocol Extensions: Service for User and Constrained Delegation Protocol Specification DelegConfig Internet Explorer and SPNs IE does not include port number in SPN IE builds SPN based on A record not alias

44 Referencje Kerberos Technical Supplement for Windows How to troubleshoot Kerberos-related issues in IIS Troubleshooting Kerberos Errors Troubleshooting Kerberos Delegation NMCap: the easy way to Automate Capturing


Pobierz ppt "Kerberos udomowiony TOMASZ ONYSZKO Konsultant | Microsoft Start."

Podobne prezentacje


Reklamy Google