تبادل کلید رمزنگاری موقع جوین کردن یه کلاینت به دامین توسط ادمین
سلام . دوستان ببخشید میشه اول از همه این مکانیزم که میگم بررسی کنید ببینید درسته یا نه خیلی ممنون مرسی .
موقعی که کلاینت میخوام عضو دامین کنم ، از من یوزرنیم و پسورد ادمین میخواد وقتی من وارد می کنم و اینتر میزنم پشت صحنه این اتفاق میفته
کلاینت فقط اسم یوزر ، تایم استمپ و اسم دامین که میخواد عضو باشه به صورت غیر رمزنگاری شده ارسال می کنه سمت AS سرور ( اطلاعات حساس نیستن مرحله اول ) . حالا این AS سرور میاد اسم یوزر نگاه می کنه می بینه Administrator هست اسمش و میدونه پسورد هش شده این یوزر چیه چون از قبل ذخیره داره . خلاصه میاد یه سشن کی میسازه و همین سشن کی با استفاده از پسورد هش شده که نقش کلید متقارن موقت داره انکریپت می کنه . حالا این کلید جدید به همراه بلیط TGT می فرسته سمت کلاینت . داخل محتویات داخل TGT همچنین خود سشن کی است . کلاینت چون خودش هم پسورد هش شده ادمین داره پیغام رمزگشایی می کنه می فهمه کلید جدید از این به بعد session key است و باید با این کار کنه . مرحله اول احراز هویت تموم شد . حالا کلاینت میاد با TGT که گرفته یه درخواست می فرسته سمت TGS و میگه که سرویس دامین کنترلر به من بلیط بده تا بتونم دسترسی پیدا کنم . خلاصه بعد دریافت بلیط ، و فرستادن اش سمت DC ، دی سی میاد یه کامپیوتر اکانت میسازه ، و یه کلید ماشین ایجاد می کنه ، حالا این کلید ماشین باید به کلاینت منتقل کنه ، خود این کلید باید با کلید سشن رمز نگاری کنه تا کسی این کلید ندزده و بعد دریافت کلید توسط کلاینت تمومه کار . اصلی ترین اصلی ترین سوال که برا من هست اینه که اولین کلید که برای رمزنگاری صرفا موقت استفاده میشه پسورد هش شده ادمین هست ، این جمله درسته ؟ و آیا جوین شدن کلاینت به کامپیوتر از پروتکل kerberos استفاده میشه خیلی کم ابهام ریزی دارم . واقعا خیلی خیلی ممنون میشم این سناریو یه نفر تو فهمدین اش بهم کمک کنه مرسی .
9 پاسخ
خیلی ممنونم مرسی ، پس خلاصه این میشه اولین پیام AS-req ، فقط اسم یوزر و تایم استمپ و ... اطلاعات غیر حساس فرستاده میشه ( به صورت غیر رمزنگاری ) ، AS دریافت می کنه نگاه می کنه این اسم یوزر رو ، می بینه پسورد هش شده اش که ذخیره داره از قبل چی هستش . یه کلید جدید میاد برای ارتباط های آینده میسازه به اسم session key خود این کلید با پسورد هش شده رمز نگاری می کنه به همراه TGT می فرسته سمت کلاینت . میرسه کلاینت رمزگشایی میشه و از این به بعد کلید ارتباطات این session key هست . احراز هویت انجام میشه و کلاینت میخواد سرویس دامین کنترلر ارتباط برقرار کنه ، یه بلیط TGS میره از KDC دوباره می گیره و دریافت می کنه . و تمام ، با سرویس دامین کنترلر ارتباط می گیره و DC کامپیوتر اکانت میسازه و یه پسورد برای حساب کامپیوتری ایجاد می کنه . حالا دوباره میخواد این پسورد بفرسته سمت کلاینت با session key رمز نگاری می کنه و می گیره و هر دو سمت ارتباط می گیرن . مهم ترین کلید توی کربروس یا اولین کلید همون هش پسورد ادمین که کلید متقارن موقت هر دو سمت هم کلاینت و هم AS باید داشته باشن . یعنی نقطه شروع از این کلید هستش بعد ها تغییر می کنه و جایگزین میشه . مرسی .
با سلام
بله تمام مواردی که فرمودید صحیح میباشد.
اولین کلید که برای رمزنگاری صرفا موقت استفاده میشه پسورد هش شده ادمین هست ، این جمله درسته ؟ بله درسته
آیا جوین شدن کلاینت به کامپیوتر از پروتکل kerberos استفاده میشه بله از kerberos استفاده میشود
آره استاد ، فکر می کنم یه ذره هم مشکله این قضیه که یه نفر تنهایی بخواد بشینه پشت هر سیستم و با یوزر نیم و پسورد وارد کردن عضو دامین شون کنه اصلا . مثلا 50 تا کامپیوتر تنهایی بخواد جوین کنه نمیشه ، یا اصلا فرض کنیم اون ادمین اصلا یه کاری پیش اومد کلا یه مدت رفت یه شهر دیگه ، هیچ کلاینت دیگه نمی تونه جوین بشه ( البته اینو نمی دونم امکان از راه دور جوین کردن هست یا نه )
منطقی پس بگیم هر یوزر که جوین شد بتونه ده تا عضو کنه و همینجوری مسئولیت گردن یه نفر دیگه نیست .
از راه دور هم میشه سیستم ها رو به دامین join کرد.
بله میشه. هر یوزری توی دامین بصورت پیشفرض تا ۱۰ تا کامپیوتر رو میتونه به دامین join کنه. در ضمن ، از لحاظ امنیتی پیشنهاد هم نمیشه که با یوزر ادمین دامین کلاینت ها رو به دامین جوین کنید.
سلام دوست عزیز ، شما نیاز نیست که حتما با استفاده از یوزر ادمین کلاینت ها رو به دامین join کنید ، شما با همه یوزر های ساخته شده توی Active Directory هم میتونید این کار رو انجام بدید.
عه !! ، من فکر می کردم استاد فقط یوزر که عضو گروه دامین ادمین حق جوین کردن کلاینت ها به دامین داره .
دوره ها نگاه می کردیم همیشه می گفتن یوزر که ادمین میاد عضو می کنه .
با همه یوزر ها میشه کلاینت جوین اکتیو دایرکتوری کرد واقعا ؟! یعنی من به عنوان یه کلاینت عادی و معمولی که قبلا جوین دامین شدم و ادمین نیستم ، می تونم کلاینت های دیگه عضو دامین کنم !!!
سلام مهندس کریم پور از راه دور هم join کردن مثل زمانی هست که پشت سیستم هستیم ؟؟؟
متوجه منظورتون نشدم ولی اگه منظورتون روش انجام ابن کار هست خیر ، هم بصورت گرافیکی و هم خط فرمانی هم میشه بصورت ریموت کلاینت رو به دامین join کرد. از اونجا که تعداد زیادی کامپیوتر رو از راه دور join میکنن از روش Powershell استفاده می کنن.