Windows认证 | 域认证

最新推荐文章于 2025-03-13 16:27:23 发布
最新推荐文章于 2025-03-13 16:27:23 发布
阅读量3.2k 收藏 3
点赞数
分类专栏: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_18501087/article/details/101593442
版权
本文详细介绍了Windows环境中Kerberos认证协议的工作原理,包括Kerberos的三方认证机制、角色(AS、TGS)及流程。通过实例解析了Kerberos数据请求的全过程,从客户端请求TGT到获取Ticket,再到最终访问服务的过程,帮助理解Kerberos如何确保网络认证的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

安全库:http://www.seclibs.com/
网络安全爱好者的安全导航,专注收集信安、红队常用网站、工具和技术博客

在Windows中的身份认证方式有很多,也在不断的升级,但是在域中,依旧使用的是Kerberos认证。

Kerberos 是一种网络认证协议,它的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据,也就是说它的认证完全是从一个不安全的网络环境出发进行认证的,它是拥有第三方信托机构的,与上一篇主机间的交互是不同的。

Kerberos 这个名字来源于希腊神话,是冥界守护神兽的名字

file

其实看到这张图后,也就能明白Kerberos认证的是由三方来完成的,他们分别是clientserverKDC(Key Distribution Center)

其中KDC是由两种服务所构成的,AS(Authentication Service)TGS(Ticket Granting Service)

AS是用来为client生成TGT的,TGS是用来为client生成某个服务的Ticket的,TGT(Ticket Granting Ticket)是用来获取Ticket的临时凭证,Ticket是用来访问某种服务所必须使用的票据

只有用户TGT才能获取Ticket,才能去访问server上的服务。

而在Windows当中,域控DC(Domain Controller)充当了KDC的角色,还有一点需要注意的是,它有一个类似于本地SAM一样的数据库AD(Account Database),里面存储着所有client的名单,只有存在于client中的用户才能申请到TGT。

从物理层面看,AD与KDC均为域控制器DC(Domain Controller)。

** 域认证的大致流程是这样的:**

** client先向DC请求,要求获取访问server的权限,当DC接收到请求之后,先由AS向AD发起请求,查看此client是否在白名单中,成功后,则由AS将TGT返回给client。

** 然后client带着TGT继续向DC发起请求,要求获取访问server的权限,当DC接收到请求后,TGS会通过TGT判断

最低0.47元/天 解锁文章
3.4-Windows域认证之Kerberos协议认证
qq_38122566的博客
03-12 1057
Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下,Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。
微软AD认证考试题库
02-09
微软AD域认证考试的相关部分英文试题,方便练习自测和验证相关AD域知识内容。每道题都有知识讲解,方便好用。
asp.net 实现用户的域验证
10-28
asp.net 实现用户的域验证 源码简单易懂,使用的是Visual studio 2008
java域验证_JAVA windows 域认证指南
weixin_34275305的博客
02-12 211
实现方法:import java.util.Hashtable;import javax.naming.Context;import javax.naming.NamingEnumeration;import javax.naming.ldap.InitialLdapContext;import javax.naming.ldap.LdapContext;public class LdapAuth...
渗透测试的域渗透之域认证机制
最新发布
没有网络安全就没有国家安全
03-13 1019
渗透测试的域渗透之域认证机制
AD 域登录验证
Practitioner
06-22 2274
注意:在测试的时候需要将 x.x.x.x,xxx,abc,123abc.替换成相应的域服务器 IP ,域服务器端口,域用户名,域用户密码。系统在登录的时候,需要根据用户名和密码验证连接域服务器进行验证此用户是否为域用户。某个域用户是:abc@adservice.com 密码:abc123.spring-ldap-core 版本:2.0.2.RELEASE。AD域为:DC=adservice,DC=com。单元测试:ADAuthJavaTest.java。域服务器地址:x.x.x.x。
Windows三种认证方式(本地认证、网络认证域认证)即域认证的黄金/白银票据
weixin_67925097的博客
07-28 2642
根据自己所学分享,若有误请您联系我,我好更正学习中积累错了的知识点。
域认证流程
只有不断学习才不会被茫茫人海淹没!
04-05 6047
域认证流程一、首先你必须知道的名词含义二、粗略流程三级目录 一、首先你必须知道的名词含义 DC: Domain Controller 域控 KDC: Key Distribution Center 密钥分发中心 AD: Account Database 账户数据库 AS: Authentication Service 身份验证服务 TGS: Ticket Granting Service 票据授与服务 TGT: Ticket Granting Ticket 票据中心授予的票据 二、粗略
CAS+windows AD域实现单点登录免身份认证.docx
11-29
cas集成window AD 域实现免身份认证单点登录,cas部署为centos系统,window server 2012 R2
CAS5.3+windows AD域实现单点登录免身份认证.docx
05-17
CAS 5.3 及 Windows AD 域实现单点登录免身份认证 CAS(Central Authentication Service)是一种流行的开源身份验证系统,旨在提供单点登录(SSO)解决方案。Windows AD(Active Directory)则是微软公司推出的目录...
Windows域与802.1X协议统一认证解决方案.doc
03-13
测试PC通过Windows域认证后,会自动在交换机上进行802.1X认证,成功后进入V20 VLAN,能访问互联网;未通过认证的PC则被限制在Guest VLAN中。 实验步骤分为两部分:配置Windows 2003 Server和安装配置相关服务。首先...
ASP.NET Windows域用户身份验证
weixin_30466039的博客
07-09 194
在配置节点中authentication 元素 配置 ASP.NET 身份验证方案,该方案用于识别查看 ASP.NET 应用程序的用户。 <authentication mode="[Windows|Forms|Passport|None]" > <forms>...</forms> <passport/> ...
浅析Windows域环境身份认证与攻击思路
道阻且长,行则将至
06-30 2567
文章目录前言Kerberos 协议 前言 上一篇文章 内网渗透-Windows域环境的初识与搭建 介绍了 Windows 域环境的基础概念和域环境的搭建演示,通过前面的学习也了解到,Windows 系统在工作组上你一切的设置在本机上进行包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。 也就是说,Windows 用户登录到域中的时候,身份验证
验证域的另一方法
sugar88的学习收集专栏
03-11 903
验证域的另一方法 写此文,是希望有高手能用.Net下与AD相关的类或者名字空间写出类似解决方案。 需求:本系统不在两个域中的任何一个域中,但是要求验证登陆的帐号(形如 UserName@Dmain)是否在两个域中的其中的一个域中。不能建立信任域。 小技巧:利用 Net Use命令登陆的返回值,并隐藏 命令提示符的窗口。 /**////          /// 向域控制器发送Net Use 命令
java域验证_如何验证域凭据?
weixin_29268637的博客
02-16 162
我使用以下代码来验证凭据 . 下面显示的方法将确认凭据是否正确,如果密码已过期或需要更改 .我一直在寻找这样的东西...所以我希望这有助于某人!using System;using System.DirectoryServices;using System.DirectoryServices.AccountManagement;using System.Runtime.InteropService...
解决了一个域验证问题
weixin_34071713的博客
06-13 288
今天做实验时发现域用户可以登录域内计算机,但是在访问域内资源时验证失败。 确信用户账号是有效的,为什么验证失败呢? 域中有两台DC,查看DC的系统日志,发现了Kerberos相关的错误: 有错误信息就好办,上网查了一些文档,最后决定采用微软KB中的方法尝试解决:How to use Netdom.exe to reset machine accou...
Windows Server 2016域服务器部署-域证书服务安装
Letter的博客
10-15 508
配置 Active Directory 证书服务
[内网] Windows三大认证
weixin_43586169的博客
07-28 2972
Kerberos认证与NTML认证都是属于网络认证,也可以将这个三种认证方式分为两大类,就是本地认证和网络认证,网络认证分为Kerberos认证和NTML认证。 以举例子, 白话形容,将Windows三大认证讲解的透彻,彻底理解。......
Windows域认证(Kerberos认证)图解
Howell_0626的博客
06-30 2733
Windows域认证(Kerberos认证)图解
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值