?Kerberos認證Service_key及Ticket獲取相關問題思路求教
?Kerberos認證Service_key及Ticket獲取相關問題思路求教
思路一:
在Windows客戶端與Windows伺服器的kerberos認證過程中,通過第二階段客戶端向KDC(密鑰分配中心)的TGS數據交互,客戶端獲取到了可以與服務端會話的Service_key和Ticket。
問題一:如果伺服器端KDC用開源的Samba實現(前提Samba內實現了MIT的kerberos協議),是不是我們就能讀取到Service_key了呢?
思路二:
Windows伺服器(假定Windows server2008R2, IP地址:192.168.0.76)充當Exchange2010伺服器, Windows客戶端(假定Windows 7, IP地址:192.168.0.176)充當Exchange2010客戶端。
客戶端會176向伺服器76發起請求認證的時候,我們可以設置僅kerberos認證。此時會有數據包的交互,客戶端176向伺服器76的KDC(密鑰管理中心)的AS(認證伺服器)獲取票據Ticket后,再向伺服器76端的KDC的TGS(票據授權伺服器)獲取可以向伺服器76認證的Service_key及票據Ticket。
此時,伺服器76端的系統Windows Server2008R2是包含KDC的。因為Server2008R2內還含有主域控制器(PDC),我們知道Linux操作系統,比如Redhat,Centos是包含開源Samba軟體的,或者我們可以安裝新的版本,如Samba4.0.1x。而查資料可以,Samba是可以充當PDC的,且samba集成KDC的功能。資料源頭(Redhat官網):https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/4/html。
問題二:用Samba作為中間DC(域名控制器),能否同步過來Server端認證客戶端時的Service_key和票據Ticket信息,如果可行的話,大致的介面是什麼?
進展:已經知道Samba-tool(samba內含工具)從Red-hat端實現獲取到了伺服器端的用戶名信息,但是至於密鑰的獲取還有一段路要走。且samba-tool以DC加入域的概念也不好理解。
困難點如下:
困難一:Samba的配置相對複雜,和我設定相關的配置需要謹慎查詢資料,稍有不慎,會導致各種問題,易愈陷愈深;
困難二:Windows域的概念複雜,如DC的功能。Redhat官網指出,Windows充當PDC時,Samba不能充當BDC(備份域控制器);同時Samba充當PDC時,Windows不能充當BDC。但思路二,想從同步角度思考,又避免不了DC之間的同步。
困難三:Kerberos認證體系複雜,需要反覆閱讀Kerberos官網協議文檔才能理解其精髓。
困難四:思路一、二的目的是一樣的,但結果的獲取需要結合Windows域體系、Samba體系、Kerberos認證體系,三者結合交叉的概念也需要廣查資料思考。
已經通過國外各大論壇、Samba官網求救,無奈時間緊迫,需要緊急討論出思路的可行性,特懸賞求助!
或者您有沒有其他獲取Service_key及Ticket的思路,萬分感謝與您的寶貴思路和建議!
[火星人
]
?Kerberos認證Service_key及Ticket獲取相關問題思路求教已經有313次圍觀
http://coctec.com/docs/service/show-post-10999.html
