悬赏:Kerberos认证Service_key及Ticket获取相关问题思路求教

简介: Kerberos认证Service_key及Ticket获取相关问题思路求教

思路一:

在Windows客户端与Windows服务器的kerberos认证过程中,通过第二阶段客户端向KDC(密钥分配中心)的TGS数据交互,客户端获取到了可以与服务端会话的Service_key和Ticket。  

问题一:

如果服务器端KDC用开源的Samba实现(前提Samba内实现了MIT的kerberos协议),是不是我们就能读取到Service_key了呢?

 

    
思路二:

Windows服务器(假定Windows server2008R2, IP地址:192.168.0.76)充当Exchange2010服务器, Windows客户端(假定Windows 7, IP地址:192.168.0.176) 充当Exchange2010客户端。

客户端会176向服务器76发起请求认证的时候,我们可以设置仅kerberos认证。此时会有数据包的交互,客户端176向服务器76的KDC(密钥管理中心)的AS(认证服务器)获取票据Ticket后,再向服务器76端的KDC的TGS(票据授权服务器)获取可以向服务器76认证的Service_key及票据Ticket。

此时,服务器76端的系统Windows Server2008R2是包含KDC的。因为Server2008R2内还含有主域控制器(PDC),我们知道Linux操作系统,比如Redhat,Centos是包含开源Samba软件的,或者我们可以安装新的版本,如Samba4.0.1x。而查资料可以,Samba是可以充当PDC的,且samba集成KDC的功能。资料源头(Redhat官网):https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/4/html

问题二:

用Samba作为中间DC(域名控制器),能否同步过来Server端认证客户端时的Service_key和票据Ticket信息,如果可行的话,大致的接口是什么?

进展:已经知道Samba-tool(samba内含工具)从Red-hat端实现获取到了服务器端的用户名信息,但是至于密钥的获取还有一段路要走。且samba-tool以DC加入域的概念也不好理解。


困难点如下:

困难一:

Samba的配置相对复杂,和我设定相关的配置需要谨慎查询资料,稍有不慎,会导致各种问题,易愈陷愈深;

困难二:

Windows域的概念复杂,如DC的功能。Redhat官网指出,Windows充当PDC时,Samba不能充当BDC(备份域控制器);同时Samba充当PDC时,Windows不能充当BDC。但思路二,想从同步角度思考,又避免不了DC之间的同步。

困难三:

Kerberos认证体系复杂,需要反复阅读Kerberos官网协议文档才能理解其精髓。

困难四:

思路一、二的目的是一样的,但结果的获取需要结合Windows域体系、Samba体系、Kerberos认证体系,三者结合交叉的概念也需要广查资料思考。

已经通过国外几个专业论坛、Samba官网求救,无奈时间紧迫,需要紧急讨论出思路的可行性,特悬赏求助!

或者您有没有其他获取Service_key及Ticket的思路,万分感谢与您的宝贵思路和建议!
 


   
作者:铭毅天下
转载请标明出处,原文地址:http://blog.csdn.net/laoyang360/article/details/14539755

相关文章
|
4月前
|
JavaScript 前端开发 Linux
【Azure 应用服务】NodeJS Express + MSAL 实现API应用Token认证(AAD OAuth2 idToken)的认证实验 -- passport.authenticate()
【Azure 应用服务】NodeJS Express + MSAL 实现API应用Token认证(AAD OAuth2 idToken)的认证实验 -- passport.authenticate()
|
4月前
|
API
【Azure Developer】记录一段验证AAD JWT Token时需要设置代理获取openid-configuration内容
【Azure Developer】记录一段验证AAD JWT Token时需要设置代理获取openid-configuration内容
|
7月前
使用JWT的服务分布式部署之后报错:JWT Check Failure:
使用JWT的服务分布式部署之后报错:JWT Check Failure:
121 1
|
7月前
|
存储 安全 数据库
从内到外,彻底搞懂sa-token和Oauth2.0的防线
从内到外,彻底搞懂sa-token和Oauth2.0的防线
1056 0
|
7月前
|
Kubernetes API 网络架构
k8s学习-CKS真题-启用API Server认证,禁止匿名访问
k8s学习-CKS真题-启用API Server认证,禁止匿名访问
188 0
|
存储 缓存 SpringCloudAlibaba
SpringCloud Alibaba微服务实战三十五 - 退出登录注销 jwt token
SpringCloud Alibaba微服务实战三十五 - 退出登录注销 jwt token
1053 0
|
安全 数据安全/隐私保护 开发者
构建安全的身份认证系统:OAuth和OpenID Connect的实践
在当今的互联网世界中,安全的身份认证是保护用户隐私和数据安全的重要组成部分。OAuth和OpenID Connect是两种常用的身份认证协议,本文将介绍它们的原理和实践,以及如何在应用程序中集成和使用它们来构建安全的身份认证系统。
373 0
jira学习案例22-jwt原理-auth-provider
jira学习案例22-jwt原理-auth-provider
76 0
jira学习案例22-jwt原理-auth-provider
|
安全
《安全机制与User账户身份验证实战》电子版地址
安全机制与User账户身份验证实战
64 0
《安全机制与User账户身份验证实战》电子版地址
|
存储 开发框架 NoSQL
微服务系列之授权认证(二) identity server 4
IdentityServer4 是为ASP.NET Core系列量身打造的一款基于 OpenID Connect 和 OAuth 2.0 认证授权框架。