اعتبار Ticket در دامین
منظور از این دو پالیسی زیر دقیقا چیه؟
Maximum lifetime for user ticket
Maximum lifetime for service ticket
سوال بعدی این که من برای تست کارایی دو پالسی ذکر شده این کار را کردم پالیسی اولی را بروی یک ساعت تنظیم کردم و پالیسی دوم را بروی 10 دقیقه و پالسی را بروی کل دامین اعمال کردم سپس با کامپیوتر کلاینت به دامین لاگین شدم و از کامپیوتر دیگه که فایل سرور هستش سرویس فایل می گیرم حال سوال من اینه چرا با گذشت یک ساعت از تیکتی که دریافت کردم هنوز میتونم از فایل سرور سرویس بگیرم مگر در تیکتی که هنگام لاگین به دامین گرفتم اعتبار تیکت من یک ساعت بیشتر نیستش و فایل سرور به دلیل Expire شدن تیکت کاربر نباید از دادن سرویس به من جلوگیری کنه؟
7 پاسخ
در مورد دو پالسی توضیح ندادید و اگر قرار هستش بعد از expire شدن بلافاصله renew بشه پس برای چی expire میشه؟
من برای این که منقضی شدن اعتبار تیکت را مشاهده کنم ابتدا به دامین لاگین شدم و از فایل سرور سرویس فایل گرفتم سپس از طریق DC پسورد این user تغییر دادم وبرای این که مطمئن بشم که پسورد تغییر کرده با یک کامپیوتر دیگه لاگین شدم سپس منتظر شدم تا براساس مدت زمانی که برای اعتبار تیکت ها تعیین کرده بودم زمان اعتبار تیکت به پایان برسد اما همچنان با میتونم به فایل سرور متصل بشم و سرویس فایل بگیرم پس چرا با این که اعتبار تیکت به پایان رسیده اما همچنان با همان پسورد قبلی میتونم متصل بشم حتی میتونم snap-in users and computers را هم اجرا کنم و object های دامین را هم مشاهده کنم.
use google
- ""در مورد دو پالسی توضیح ندادید""
توضیح دادم شما متوجه نیستید
*"وقتی کاربری عضو دومین می شود احراز هویت آن توسط پروتکل Kerberos انجام می شود. وقتی کاربری یوزر و پسورد خود را وارد می کند این درخواست به سمت KDC که همان DC است ارسال می شود و DC بر اساس این اطلاعات Ticket ی به کاربر ارسال می کند که همان User Ticket or TGT نام دارد
در مرحله بعدی وقتی کاربرا می خواد به سرویسی در شبکه دسترسی داشته باشد باید مجوز این سرویس را از KDC درخواست کند که طی مراحلی این مجوز به کاربر داشه می شود. که Service Ticket or TGS نام دارد.
وقتی ما از KDC تیکیتی دریافت می کنیم این تیکیت یک طول عمر دارد (مدت زمان) که بعد از سپری شدن این مدت زمان این Ticket باید Renew شود. شما بوسیله Policyهای فوق می توانید این مدت زمان را تعیین کنید. *
سوال دوم شما:
و اگر قرار هستش بعد از expire شدن بلافاصله renew بشه پس برای چی expire میشه؟
Expire می شود تا از فعالیت هکر جلوگیری کند.
شاید بپرسید این کار چطور انجام میشه؟؟ (اگر درباره کربروس مطالعه دقیق داشته اید به جواب این سوال میرسیدید)
فرض کنید User1 به KDC لاگین می کند، برای اینکه KDC این کاربر را احراز هویت کند این کاربر باید User and pass خود را وارد کند بعد از این که Authenticate شدن کاربر با موفقت انجام شد User1 درخواست تیکیت TGT می کند، ولی قبل از اینکه این درخواست را ارسال کند درخواست را با پسورد خود [ User1 password] رمزگذاری میکند. وقتی درخواست به دست KDC رسید این درخواست را رمزگشایی می کند (پسورد همه کاربران در KDC ذخیره می شود) و تیکیت TGT را تحویل User1 می دهد.....
الان فرض کنید تیکیت TGT متعلق به User1 توسط کاربر XXX هک شد...... الان کاربر XXX می تواند از تیکیت این کاربر استفاده کند ولی تا چه مدت؟؟؟؟ تا Lifetime آن تیکیت. وقتی lifetime TGT سپری می شود کاربر XXX درخواست TGT از KDC می کند و درخواست خود را با XXX Password رمزگذاری می کند وقتی درخواست به دست KDC رسید KDC چک می کند این تیکیت متعلق به User1 می باشد ولی اینبار توسط کاربر XXX ارسال شده!!!!! اینجاست که KDC از کاربر XXX درخواست User and pass می کند تا طبق مجوزهای آن User به آن تیکیت ارسال کند.
با تشکر از پاسخی که دادید . آیا میشه فقط برای آزمایش کاری کنیم که KDC به علت انقضای تیکیت تقاضای user and pass کند
وقتی کاربری عضو دومین می شود احراز هویت آن توسط پروتکل Kerberos انجام می شود. وقتی کاربری یوزر و پسورد خود را وارد می کند این درخواست به سمت KDC که همان DC است ارسال می شود و DC بر اساس این اطلاعات Ticket ی به کاربر ارسال می کند که همان User Ticket or TGT نام دارد
در مرحله بعدی وقتی کاربرا می خواد به سرویسی در شبکه دسترسی داشته باشد باید مجوز این سرویس را از KDC درخواست کند که طی مراحلی این مجوز به کاربر داشه می شود. که Service Ticket or TGS نام دارد.
وقتی ما از KDC تیکیتی دریافت می کنیم این تیکیت یک طول عمر دارد (مدت زمان) که بعد از سپری شدن این مدت زمان این Ticket باید Renew شود. شما بوسیله Policyهای فوق می توانید این مدت زمان را تعیین کنید.
جهت اطلاع شما:
قبل از اینکه این Ticketها Expire شوند Client and KDC بصورت سایلنت این کلیدا ها را Renew می کنند بدون اینکه کاربر نیاز به وارد کردن User and Pass داشته باشد.
همچنین شما می توانید با ابزار Klist.exe پارامترهای بالا و بعلاوه پروتکل Kerberos را تنظیم و عیب یابی کنید.
http://stackoverflow.com/questions/14682153/lifetime-of-kerberos-tickets
مثلا چی سرچ کنم متاسفانه انگلیسیم ضعیفه