AD认证:Kerberos 和 NTLM

最新推荐文章于 2025-07-21 10:01:41 发布
原创 最新推荐文章于 2025-07-21 10:01:41 发布 · 4.4k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #服务器 #网络 #kerberos #windows

AD认证主要用到两种协议:Kerberos 和 NTLM

NTLM

认证过程如下:

  1. client本地生成NTLM hash,值为用户密码的hash值。

  2. client发送用户名给应用服务器。

  3. 应用服务器随机生成一个值给client,这个值通常叫nonce或challenge。

  4. client用NTLM hash对nonce进行加密,并发送给应用服务器。

  5. 应用服务器收到后,连同用户名和nonce一并发送给AD服务器。

  6. AD根据该用户的密码生成NTLM hash,并对nonce进行加密,然后对client发送的进行比对。

  7. 若值相同,则通过认证,若不同,则认证失败。

Kerberos

关键名词:

  1. KDC:Key Distribution Center,密钥发行中心,提供两个服务:身份验证服务(Authentication Service 简称AS)和Ticket-Granting Service(TGS)。域会为KDC生成名为krbtgt的域账户,TGT的加密解密均使用该账户的密码。域用户首次访问时,会想AS进行身份验证,通过后,AS请求TGS向域用户提供票证(TGT)。

  2. SPN:Service Principal Name。AD账户除了用

最低0.47元/天 解锁文章
AD认证
FY19951211的博客
07-09 1679
这两天接触到一个新的知识点,AD验证。什么是AD验证?Active Directory——活动目录,活动目录只是LDAP的一个实现,提供LDAP认证、Radius认证NTML认证,都是标准认证方式 下面摘抄了一些相关的知识,填补一下知识空白,以备后用。 什么是AD认证支持 在一些管理严格的公司里,员工登陆公司电脑windows系统,输入的帐号密码不是在...
应用系统AD-及AD认证
xiaoli
03-26 3433
最近一个项目是一个统一银行系统OA的子系统,需求要求在用户及权限上通过应用系统的统一验证授权平台UAAP来统一管理各个用户的角色及权限,采用AD验证用户及获取权限。并且要求本应用内也要采用内部验证,现对AD做一些记录: AD-- Active Directory活动目录,是windows server特有的信息管理形式。   AD验证可以简单的理解为域验证,用户名/密码【用户凭据】放在一台
kerberos认证过程AD认证
06-12
Authentication解决的是“如何证明某个人确确实实就是他或她所声称的那个人”的问题。对于如何进行Authentication,我们采用这样的方法:如果一个秘密(secret)仅仅存在于AB,那么有个人对B声称自己就是A,B通过让A提供这个秘密来证明这个人就是他或她所声称的A。这个过程实际上涉及到3个重要的关于Authentication的方面: Secret如何表示。 A如何向B提供Secret。 B如何识别Secret。
AD用户认证
weixin_43861283的博客
10-17 1354
AD域连接相关代码 // AD单点登录验证;获取AD域中的用户 // An highlighted block package com.datacvg.util.AD; import com.alibaba.fastjson.JSONObject; import org.junit.Assert; import org.testng.annotations.Test; import javax.naming.AuthenticationException; import javax.naming.Co
NTLMKerberos认证流程
Y5neKO's blog
09-11 2133
NTLMKerberos认证流程 NTLM认证 1.概念 NTLM是NT LAN Manager的缩写,NTLM 是指 telnet 的一种验证身份方式,即问询/应答身份验证协议,是 Windows NT 早期版本的标准安全协议,Windows 2000 支持 NTLM 是为了保持向后兼容。Windows 2000内置三种基本安全协议之一。 2.认证流程 ①使用用户名密码登录客户端,进行本地认证 ②客户端首先在本地加密当前用户的密码为密码散列,即NTLM Hash1 ③确认双方协议版本,客户端向服务
54、SSH认证与Tectia配置:Kerberos服务器配置解析
最新发布
dropout6artist的博客
07-21 56
本文详细解析了SSH与Kerberos认证的原理与优势,对比了Kerberos与SSH公钥认证的不同,并通过实际示例展示了如何在Debian机器上使用Kerberos连接到Tectia Windows Server。同时介绍了Tectia配置文件中的元配置扩展、相关安全风险及应对策略,还探讨了未来的发展趋势,并给出了实用的配置示例操作流程。适合系统管理员网络安全从业者参考,以构建更安全、高效的SSH认证环境。
SSH认证与Tectia配置:Kerberos服务器配置解析
例如,Tectia Windows Server可通过GSSAPI提供KerberosNTLM用户认证。相关的SSH协议草案为“GSSAPI Authentication and Key Exchange for the Secure Shell Protocol”(draft - ietf - secsh - gsskeyex)。 几...
NTLMActiveDirectory:用于NTLMAD SSO的MediaWiki身份验证扩展
05-18
NTLM与更现代的Kerberos协议相比,虽然略显过时,但在某些情况下,特别是对于不支持Kerberos的旧系统或环境,NTLM仍然是一个可行的选择。 Active Directory是Microsoft Windows服务器操作系统中的一个关键组件,...
用户登录计算机ad认证过程,AD集中身份验证过程
weixin_39827798的博客
06-29 896
AD是一个集中身份验证的工作原理,DC也就是KDC,会知道所有的口令。环境如下:单域test.com,DC计算机名为DC.test.com . A B C 三台域成员,文件共享服务C 上面的安全选项里的以domain group做的权限控制,现在为什么会变成SID码,重启C以后,就工作正常了.但过了一段时间后,又会变成SID了呢?我想了解的是:1, 我们知道,ACL里对应的其实就是不同SID码的权...
AD集成认证
11-28
AD集成认证示例代码,其中包含一个主页面以及一个用户控件
AD域单点登陆NTLM
04-12
java 基于NTLM协议集成AD账号域登录 内含JAR包,DEMO包以及说明文档
java ad登录_Ldap登陆AD(Active Directory)进行认证的Java示例
weixin_42429109的博客
02-15 314
packageLdapTest;importjava.util.Hashtable;importjavax.naming.Context;importjavax.naming.NamingEnumeration;importjavax.naming.NamingException;importjavax.naming.AuthenticationException;importjavax.nami...
应用系统Azure AD认证(一)
NoteDing
02-05 5625
应用系统Azure AD认证 应用系统与员工账户认证绑定(AD),实现基于Azure AD的Multi-Factor Authentication(MFA)。 1 基于OAuth 2.0的定制开发SDK、文档及示例 1.1 Azure应用程序注册 与 Azure Active Directory (Azure AD) 集成的应用程序,针对其服务提供安全的登录授权。若要将某个应用程序或服务与 Azure AD 进行集成,开发人员必须先将该应用程序注册到 Azure AD。 登录到Azure 门户。 在左侧
kerberos认证的讲解(转载)——附个人的浅显理解
dreamer292的博客
08-24 211
kerberos协议的详解附个人理解
AC上网行为管理之AD认证(外部认证服务器
weixin_53946822的博客
11-15 1344
链接:https://pan.baidu.com/s/1XeFeAACbZ7K4HpiUpWpdIw?pwd=mf3t提取码:mf3t。
view与AD认证流程分析
weixin_33929309的博客
03-05 219
一、非链式克隆用户认证流程示意图 Step1:用户使用view client向connection server发送用户登录请求,请求账户为mk01; Step2、3:connection server向AD server 发送用户认证请求,请求通过; Step4:在connection server内部会保存用户数据与池、虚机的绑定关系。认证通过的用户会从CS数据...
NTLMkerberos认证体系详解
灰太的表格的博客
10-27 2600
NTLMkerberos认证体系详解
实现OpenLDAP使用AD认证(OpenLDAP部署已忽略)
fangyingquano的专栏
08-15 1555
OpenLDAP作为一种开源的目录服务解决方案,与Windows Active Directory(AD)作为微软提供的目录服务系统,各自在特定场景下展现出优势。当前情况显示,部分应用场景(如应用集成、客户端配置)与OpenLDAP的集成更为顺畅,而另一些场景则严格依赖于AD的功能。因此,完全放弃其中任一系统均非明智之举,但这同时也带来了双重维护的挑战——不仅工作量显著增加,还涉及信息的分散管理、同步复杂性提升及错误率的潜在上升。简单认证服务层的守护进程,该进程要安装在openldap服务器上。
绘制思维导图总结NTLMkerberos认证流程。
05-08
<think>嗯,用户想要总结NTLMKerberos认证流程,并绘制思维导图。首先,我需要先回忆这两种认证协议的基本流程区别。NTLM是微软早期的认证协议,基于挑战-响应机制,而Kerberos则更现代,基于票据机制,安全性更高。用户可能需要对比它们的步骤、优缺点以及适用场景。 首先,我应该先分别梳理两者的认证流程。NTLM的流程相对简单,分为协商、挑战验证三个阶段。客户端发送请求,服务器生成挑战值,客户端用密码哈希加密后返回,服务器验证。但NTLM可能存在中间人攻击的风险,而且效率较低,尤其是在跨域环境下。 Kerberos的流程更复杂,涉及KDC(密钥分发中心),包括AS_REQ、AS_REP、TGS_REQ、TGS_REP、AP_REQ、AP_REP等步骤。客户端先获取TGT,然后用TGT获取服务票据,最后用服务票据访问应用服务器Kerberos支持双向认证票据的时效性,安全性更高,但需要时间同步KDC的高可用性。 接下来,用户可能需要对比两者的不同点,比如认证方式、安全性、效率、依赖条件等。例如,Kerberos使用对称加密票据,而NTLM使用挑战响应;Kerberos支持双向认证NTLM不支持;Kerberos需要KDC,而NTLM依赖域控制器。 用户还提到要绘制思维导图,可能需要结构化的对比分步骤的流程说明。因此,回答中需要将流程分点列出,并明确各步骤的关键点。同时,引用部分提到了NTLMKerberos属于Windows集成验证机制,需要确保信息准确,可能参考已有的资料,比如引用[1]中的内容。 此外,用户可能希望了解在什么情况下选择哪种协议,比如内网环境可能更适合Kerberos,而旧系统可能仍使用NTLM。需要指出Kerberos在效率扩展性上的优势,以及NTLM的兼容性。 最后,生成相关问题时要围绕认证流程、对比、优化、应用场景等,帮助用户进一步深入理解。例如,如何优化Kerberos的部署,或者NTLM安全风险如何缓解。</think># NTLM vs Kerberos 认证流程对比 ## 一、NTLM认证流程(三步握手) $$流程图: 客户端 \xrightarrow{协商请求} 服务端 \xleftarrow{挑战值} 客户端 \xrightarrow{加密响应} 服务端$$ 1. **协商**:客户端发送$NTLM_NEGOTIATE$消息 2. **挑战**:服务端生成$16字节随机数(Nonce)$[^1] 3. **响应**:客户端用$NT哈希值加密Nonce$返回 4. **验证**:域控制器通过$SAM数据库比对哈希$ ## 二、Kerberos认证流程(六步交互) $$流程图: 客户端 \leftrightarrow KDC \leftrightarrow TGS \leftrightarrow 应用服务器$$ 1. **AS_REQ**:请求$TGT(Ticket Granting Ticket)$ 2. **AS_REP**:获取$TGT+会话密钥(AES加密)$ 3. **TGS_REQ**:用$TGT申请服务票据$ 4. **TGS_REP**:获得$服务票据+服务会话密钥$ 5. **AP_REQ**:向应用服务器提交$服务票据$ 6. **AP_REP**:可选$双向验证$ ## 三、核心差异对比 | 维度 | NTLM | Kerberos | |--------------|-------------------------------|------------------------------| | 协议基础 | 挑战-响应机制 | 票据授权机制 | | 加密方式 | 仅客户端加密 | 全程对称加密(AES/DES) | | 认证方向 | 单向认证 | 支持双向认证 | | 时间敏感 | 不依赖时间同步 | 要求5分钟内时间同步 | | 跨域能力 | 需建立域信任 | 通过跨域TGT实现 | | 效率 | 每次访问都认证 | 票据8小时有效 | ## 四、思维导图设计建议 ``` 认证协议 ├─ NTLM │ ├─ 三阶段流程 │ ├─ 哈希传递风险 │ └─ 适用场景:旧系统/SMB协议 └─ Kerberos ├─ 六阶段流程 ├─ 黄金票据/白银票据攻防 └─ 适用场景:AD域/云环境 ``` ## 五、安全建议 1. Kerberos需部署$KDC冗余集群$保障可用性 2. NTLM应启用$NTLMv2并禁用LM响应$[^1] 3. 定期轮换$KRBTGT账户密码$(影响Kerberos票据有效性)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值