Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Autentificazione AD

    Cargado por

    Roberto Bellini
    16 vistas2 páginas

    Derechos de autor

    © Attribution Non-Commercial (BY-NC)

    Formatos disponibles

    DOC, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    16 vistas2 páginas

    Autentificazione AD

    Cargado por

    Roberto Bellini

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 2

    L ’autenticazione in AD/DS

    Kerberos

    Il protocollo Kerberos è utilizzato per l’autenticazione e ha come funzione


    principale quella di non trasmettere le password in rete ma di utilizzare delle
    librerie sul server e sul client per generare delle chiavi di crittografia per
    l’encryption della password stessa (secret shared key system).

    La struttura è molto complessa è nasce appunto per permettere il processo di


    autenticazione sulle reti aperte e non sicure (tipo Internet).

    Le librerie sono chiamate SSP (security support provider) e oltre a quella per
    Kerberos abbiamo una SSP per NTLM.

    Le librerie sono caricate dal Local Security Authority (LSA) all’avvio di Windows.

    Kerberos non serve solo per la’utenticazione degli utenti ma anche delle
    connesioni (account computer di una rete basata su AD DS).

    SSPI (Secure Service Provider Interface) decide quale libreria invocare tra i SSP
    disponibili per iniziare la fase di autenticazione è quindi di autorizzazione.

    AD DS KDC
    Il KDC (Key Distribution Center) si attiva quando una istanza di AD DS viene
    installata - serve a mantenere un database di credenziali (in realta il
    database è quello di AD DS e le chiavi di crittografia sono salvate come
    attributo dell’oggetto di AD DS che rappresenta l’entità, al momento della
    creazione dell’oggetto corrispondente).
    Questa chiave è la LTK (Long Term Key) ovvero la chiave di crittografia
    conosciuta solo dal KDC e dall’entità che si deve autenticare (computer , utenti
    e servizi).

    Quando un utente è davanti alla finestra di “CTRL+ALT+CANC” è già


    avvenuta la fase di autenticazione relativa all’account computer.

    Ma vediamo per l’utente cosa avviene :

    L’utente e la password inserita con l’accesso interattivo vengono lette – la


    password viene passata al SSP Kerberos che genera ,con un algoritmo DES-
    CBC-MD5 (con Windows Server 2k8 e Vista è supportato anche AES), una
    chiave di crittografia ovvero la “session key”.

    Le credenziali vanno nella cache del client.

    Tale chiave è conosciuta dal KDC (poichè l’algoritmo utilizzato è lo stesso) e


    quindi riesce a decifrare un eventuale pacchetto che è inviato dall’utente
    tramite rete e crittografato con la session key.
    il pacchetto in questione (il primo) serve per richiedere il ticket Kerberos
    “TGT” ovvero il “Ticket Grating Ticket” – questo è il primo scambio che
    avviene tra KDC e client,sul quale l’utente si sta loggando.
    Il TGT serve perchè l’utente possa ottenere i TGS ovvero il Ticket Grating
    Service che permette l’accesso alle risorse di rete (share dei vari
    server,stampanti) e lo deve esibire per tale operazione.
    Il TGS viene generato appena l’utente ha necessità di accedere alle risorse,ma
    non significa che vi ha accesso automaticamente : questa parte viene gestita
    dal “Token di autenticazione” che contiene i gruppi di AD DS a cui l’utente
    appartiene, viene generato in fase di logon ed è restituito dal KDC inserito
    all’interno del TGT) : il token viene confrontato con l’Access Control List delle
    risorse condivise - è il concetto di autorizzazione.

    I TGT e TGS hanno una scadenza e devono essere rinnovati (il timestamp ha un
    rulo importante) : ecco l’importanza della sincronizzazione dell’ora in una rete
    AD DS.

    Il concetto dei Ticket vale anche per l’account computer che per accedere alla
    rete richiede i suoi ticket – il meccanismo funziona,la password non viaggia mai
    in rete e se il pacchetto è intercettato non è facile decifrarlo (lo scambio dei
    ticket che qui è semplifcato è invece più corposo - le informazioni contenute
    sono diverse e le chiavi di crittografia coinvolte variano a seconda del layer sul
    quale l’utenticazione sta viaggiando).

    Per tornare a noi, se utilizziamo SMART CARD e Lettori Biometrici non


    facciamo altro che aggiugere altri algoritmi di crittografia (CSP ovvero
    Cryptographic Service Provider) – do per scontato che i client della tua rete
    siano Vista e superiori.

    Infatti il supporto per questo tipo di sistemi (Smart card e lettori biometrici) è
    stato migliorato e la fase di login utenteè stata riscritta dal Team MICROSOFT
    responsabile dell’autenticazione (GINA è stata sostituita da LogonUi che
    intercetta le credenziali e le passa al SSP di Kerberos).

    Naturalmente con il lettore biometrico avrai dei driver e librerie del produttore
    che interagiscono con Windows per gestire l’autenticazione.

    Inserisci dei layer in più ma il meccanismo in linea di massima è questo.

    También podría gustarte