域账号的登录过程
? ?登錄到域的驗證過程,對于不同的驗證協議也有不同的驗證方法。如果域控制器是WindowsNT 4.0,那么使用的是NTLM驗證協議,其驗證過程和前面的“登錄到本機的過程”差不多,區別就在于驗證賬號的工作不是在本地SAM數據庫中進行,而是在域控制器中進行。
? ?而對于Windows2000和Windows 2003域控制器來說,使用的一般為更安全可靠的KerberosV5協議。通過這種協議登錄到域,要向域控制器證明自己的域賬號有效,用戶需先申請允許請求該域的TGS(Ticket-GrantingService--票據授予服務)。獲準之后,用戶就會為所要登錄的計算機申請一個會話票據,最后還需申請允許進入那臺計算機的本地系統服務。
其過程如下:
1.用戶首先按Ctrl+Alt+Del組合鍵。
2.Winlogon檢測到用戶按下SAS鍵,就調用GINA,由GINA顯示登錄對話框,以便用戶輸入賬號和密碼。
3.用戶選擇所要登錄的域和填寫賬號與密碼,確定后,GINA將用戶輸入的信息發送給LSA進行驗證。
4.在用戶登錄到本機的情況下,LSA將請求發送給Kerberos驗證程序包。通過散列算法,根據用戶信息生成一個密鑰,并將密鑰存儲在證書緩存區中。
5.Kerberos驗證程序向KDC(Key Distribution Center--密鑰分配中心)發送一個包含用戶身份信息和驗證預處理數據的驗證服務請求,其中包含用戶證書和散列算法加密時間的標記。
6.KDC接收到數據后,利用自己的密鑰對請求中的時間標記進行解密,通過解密的時間標記是否正確,就可以判斷用戶是否有效。
7.如果用戶有效,KDC將向用戶發送一個TGT(Ticket-GrantingTicket--票據授予票據)。該TGT(AS_REP)將用戶的密鑰進行解密,其中包含會話密鑰、該會話密鑰指向的用戶名稱、該票據的最大生命期以及其他一些可能需要的數據和設置等。用戶所申請的票據在KDC的密鑰中被加密,并附著在AS_REP中。在TGT的授權數據部分包含用戶賬號的SID以及該用戶所屬的全局組和通用組的SID。注意,返回到LSA的SID包含用戶的訪問令牌。票據的最大生命期是由域策略決定的。如果票據在活動的會話中超過期限,用戶就必須申請新的票據。
8.當用戶試圖訪問資源時,客戶系統使用TGT從域控制器上的KerberosTGS請求服務票據(TGS_REQ)。然后TGS將服務票據(TGS_REP)發送給客戶。該服務票據是使用服務器的密鑰進行加密的。同時,SID被Kerberos服務從TGT復制到所有的Kerberos服務包含的子序列服務票據中。
9.客戶將票據直接提交到需要訪問的網絡服務上,通過服務票據就能證明用戶的標識和針對該服務的權限,以及服務對應用戶的標識。
附:
PORT STATE SERVICE
53/tcp open domain
88/tcp open kerberos-sec
135/tcp open msrpc
139/tcp open netbios-ssn
389/tcp open ldap
445/tcp open microsoft-ds
464/tcp open kpasswd5
593/tcp open http-rpc-epmap
636/tcp open ldapssl
2179/tcp open vmrdp
3268/tcp open globalcatLDAP
3269/tcp open globalcatLDAPssl
3389/tcp open ms-term-serv
5666/tcp open nrpe
轉載于:https://blog.51cto.com/dongdong008/1325549
總結
- 上一篇: MVC4做网站后台:栏目管理1、添加栏目
- 下一篇: 修改VIM恶心的注释自动格式化