kerberos 认证理解
一、认证过程
1) AS-REQ(请求)
域内的用户向 KDC(域控服务器)发送请求包,告诉域控,我要获得访问服务的票据。
请求包: 用户名,主机名,认证因子 Authenticator(由客户端用户 hash 加密的时间戳等信息),其他信息
2)AS-REP(响应)
- KDC 接受到客户端的请求包。
- KDC 判断用户是不是有效的域用户 , 是就进行下一步校验
- KDC 在自己的 AD 库里查找该用户的 hash,解密
Authenticator, 完成认证,并校验时间戳是不是在 5 分钟以内。 都满足就进行响应 - KDC 请客户端发送两个票据
TGT:是由krbtgt用户的 hash 加密的login session key和客户端的信息等- 第二个就是
用户hash加密的login session key
3)TGS-REQ(请求)
- 客户端收到两个票据后,用
自己的hash解密第二个票据,拿到login session key,并缓存起来 - 用
login session key加密时间戳和一些其他信息生成认证因子 Authenticator - 向 TGS 发送
Authenticator+TGT+SeverID(要访问服务的标识)
4)TGS-REP(响应)
- TGS 收到客户端发来的三个信息
- 用自己的
krbtgt用户的hash解密TGT获得login session key,再用 login session key 解密认证因子 Authenticator 认证客户端,并判断时间戳是不是在 5 分钟以内 - 在 AD 数据库里查找
ServerID对应的 hash 值,并随机生成一个server session key - 向客户端发送两个票据
ST: 由Server hash加密的server session key和其他信息- 由
login session key加密的server session key等信息
5)AP-REQ(请求)
- 客户端收到两个票据
- 用缓存的
login session key解密server session key - 用
sever session key加密时间戳等信息,再次生成认证因子Authenticator - 把
ST+Authenticator发送给要访问的服务器Server
6)AP-REP(响应)
- 服务器 Server 收到
ST和Authenticator - 服务器用自己的 hash 解密
ST,拿到 server session key 。 - 用 server session key 解密 Authenticator 完成认证,并校验时间戳是不是在 5 分钟以内
- 向客户端回复校验成功
二、简单理解两种票据
黄金票据:就是在攻击者获得了 krbtgt 用户的 hash 值,跳过前两步的认证,直接伪造第三步(TGS-REQ)的信息。发送给 TGS 之后合规的签发 ST 去访问服务 (可以访问域内任意服务)
白银票据:攻击者通过服务器的 server hash,伪造第五步(AP-REQ)的请求信息,发送给服务器,已获得访问服务的权限 (可以访问某一特定服务)
黄金票据和白银票据的区别在于访问的范围不同,而不是权限不同。
标签:hash,流程,kerberos,认证,Authenticator,session,key,客户端 From: https://www.cnblogs.com/LINGX5/p/18390602