Saya memiliki pemahaman dasar tentang bagaimana Kerberos bekerja di lingkungan Active Directory dan metode yang digunakannya untuk mengotentikasi pengguna dan workstation ke jaringan, tetapi pertanyaan saya adalah .. karena Kerberos bergantung pada penerbitan token keamanan yang kemudian digunakan pengguna akhir untuk mengakses sumber daya jaringan, bagaimana sistem (laptop) yang tidak berada di domain dapat mengakses sumber daya jaringan yang sama hanya dengan menggunakan nama pengguna dan kata sandi dari pengguna direktori aktif?
Saya kira itu akan lebih masuk akal jika hanya menggunakan kredensial pengguna, Kerberos menghasilkan token keamanan dan mengeluarkannya ke sistem, tetapi sepertinya ada lebih banyak keamanan di sana untuk mencegah sistem nondomain mengakses sumber daya jaringan.
Jika ada yang bisa mencerahkan saya, saya akan menghargainya!
Jawaban:
NTLM digunakan dalam kasus ini ...
http://msdn.microsoft.com/en-us/library/windows/desktop/aa378749(v=vs.85).aspx
http://en.wikipedia.org/wiki/NTLM
sumber
Itu tergantung pada "sumber daya jaringan" yang terlibat. Di komputer Windows yang bergabung dengan domain yang Anda gunakan untuk masuk, setidaknya ada dua identitas Kerberos klien yang sedang dimainkan:
Ada juga host / workstation @ DOMAIN, tapi itu umumnya identifikasi layanan yang berjalan di host, sedang diakses dari tempat lain. Jika proses istimewa pada host ingin melakukan sesuatu - katakan, tambahkan namanya ke DNS menggunakan DNS dinamis terautentikasi Kerberos - itu akan menggunakan identitasnya untuk melakukannya, workstation $ @ DOMAIN. Namun, jika Anda dalam sesi login Anda mengakses beberapa sumber daya sendiri - katakanlah berbagi jaringan CIFS, atau URL HTTP yang diautentikasi - maka identitas klien adalah nama utama Anda , pengguna @ DOMAIN (kredensial yang diperoleh secara otomatis untuk Anda menggunakan kata sandi yang Anda masukkan untuk masuk). Dari pertanyaan Anda, Anda tampaknya berpikir bahwa beberapa kombinasi terlibat; bukan, mereka terpisah.
Inilah sebabnya mengapa tidak ada masalah menggunakan Kerberos untuk mengakses sumber daya berbasis Windows dari platform lain. Anda juga dapat mengetik "pengguna kinit" pada kotak Linux, masukkan kata sandi Anda untuk mendapatkan kredensial Kerberos (TGT) dari pengontrol domain, dan kemudian menggunakan Firefox untuk mengakses halaman web terautentikasi Kerberos di IIS. Protokol untuk semua ini adalah standar, dan Anda tidak memerlukan apa pun kecuali kredensial pengguna Anda.
Jawaban sebelumnya mengklaim bahwa NTLM diperlukan dalam kasus ini; itu salah (meskipun tentu itu dapat digunakan). Namun, ketika Anda mengakses beberapa sumber daya dari komputer non-domain dan diminta untuk nama pengguna dan kata sandi Anda, Anda tidak perlu tahu metode otentikasi apa yang sebenarnya digunakan. Mungkin menggunakan Kerberos. Mungkin juga jatuh kembali ke mekanisme berbasis kata sandi di mana ia mengirimkan nama pengguna dan kata sandi Anda ke server untuk verifikasi, dan kemudian men-cache kata sandi Anda sehingga Anda tidak perlu memasukkannya kembali. Banyak protokol memungkinkan keduanya melalui skema abstraksi seperti SASL. Anda harus melihat di kawat untuk melihat apa yang terjadi.
sumber
Instruksi di bawah ini untuk cara mengotentikasi ke server Samba menggunakan Kerberos dari klien Windows 7/10 (mungkin orang lain). Saya belum menguji versi klien dan server lain:
Pada klien Windows, "Run As Administrator" cmd.exe. Kemudian masukkan perintah ini untuk memasok Windows dengan pengetahuan tentang pengontrol domain Kerberos (KDC) untuk kerberos REALM.COM.
Jika KDC ada di DNS:
Jika tidak:
(Masukkan lebih banyak KDC untuk realm REALM.COM jika ada. Juga, dapat menambahkan ranah lain dalam gaya mana pun.)
Kemudian gunakan Explorer untuk mengakses pangsa jaringan yang diinginkan. (Misalnya
\\samba.realm.com\share
di bilah alamat.) Prompt kata sandi akan terbuka jika bagian itu dilindungi.Anda harus menentukan ranah di nama pengguna. Ini bisa dilakukan suka
[email protected]
atau tidakREALM.COM\user
.Lalu masukkan kata sandi.
sumber
Saya tahu setidaknya satu sistem yang dapat menggunakan kerberos yang bekerja dari workstation non domain. Nama aplikasi ini adalah "SAP NETWEAVER Portal". Saya melakukan beberapa mengendus jaringan pada workstation dan komunikasi, ketika saya masuk ke aplikasi web yang antara workstation dan pengontrol domain. Sebelumnya, permintaan dns untuk catatan srv _krb domain yang saya berikan ke bidang nama pengguna (harus berupa format domain FQDN, mis. Mydomain.local \ myusername) dibuat. Setelah itu, beberapa frame kerberos terjadi.
sumber