? ?登錄到域的驗證過程，對于不同的驗證協(xié)議也有不同的驗證方法。如果域控制器是WindowsNT 4.0，那么使用的是NTLM驗證協(xié)議，其驗證過程和前面的“登錄到本機的過程”差不多，區(qū)別就在于驗證賬號的工作不是在本地SAM數(shù)據(jù)庫中進行，而是在域控制器中進行。

? ?而對于Windows2000和Windows 2003域控制器來說，使用的一般為更安全可靠的KerberosV5協(xié)議。通過這種協(xié)議登錄到域，要向域控制器證明自己的域賬號有效，用戶需先申請允許請求該域的TGS(Ticket-GrantingService--票據(jù)授予服務)。獲準之后，用戶就會為所要登錄的計算機申請一個會話票據(jù)，最后還需申請允許進入那臺計算機的本地系統(tǒng)服務。

　　其過程如下：

1.用戶首先按Ctrl+Alt+Del組合鍵。

2.Winlogon檢測到用戶按下SAS鍵，就調(diào)用GINA，由GINA顯示登錄對話框，以便用戶輸入賬號和密碼。

3.用戶選擇所要登錄的域和填寫賬號與密碼，確定后，GINA將用戶輸入的信息發(fā)送給LSA進行驗證。

4.在用戶登錄到本機的情況下，LSA將請求發(fā)送給Kerberos驗證程序包。通過散列算法，根據(jù)用戶信息生成一個密鑰，并將密鑰存儲在證書緩存區(qū)中。

5.Kerberos驗證程序向KDC(Key Distribution Center--密鑰分配中心)發(fā)送一個包含用戶身份信息和驗證預處理數(shù)據(jù)的驗證服務請求，其中包含用戶證書和散列算法加密時間的標記。

6.KDC接收到數(shù)據(jù)后，利用自己的密鑰對請求中的時間標記進行解密，通過解密的時間標記是否正確，就可以判斷用戶是否有效。

7.如果用戶有效，KDC將向用戶發(fā)送一個TGT(Ticket-GrantingTicket--票據(jù)授予票據(jù))。該TGT(AS_REP)將用戶的密鑰進行解密，其中包含會話密鑰、該會話密鑰指向的用戶名稱、該票據(jù)的最大生命期以及其他一些可能需要的數(shù)據(jù)和設(shè)置等。用戶所申請的票據(jù)在KDC的密鑰中被加密，并附著在AS_REP中。在TGT的授權(quán)數(shù)據(jù)部分包含用戶賬號的SID以及該用戶所屬的全局組和通用組的SID。注意，返回到LSA的SID包含用戶的訪問令牌。票據(jù)的最大生命期是由域策略決定的。如果票據(jù)在活動的會話中超過期限，用戶就必須申請新的票據(jù)。

8.當用戶試圖訪問資源時，客戶系統(tǒng)使用TGT從域控制器上的KerberosTGS請求服務票據(jù)(TGS_REQ)。然后TGS將服務票據(jù)(TGS_REP)發(fā)送給客戶。該服務票據(jù)是使用服務器的密鑰進行加密的。同時，SID被Kerberos服務從TGT復制到所有的Kerberos服務包含的子序列服務票據(jù)中。

9.客戶將票據(jù)直接提交到需要訪問的網(wǎng)絡服務上，通過服務票據(jù)就能證明用戶的標識和針對該服務的權(quán)限，以及服務對應用戶的標識。

附：

PORT STATE SERVICE

53/tcp open domain

88/tcp open kerberos-sec

135/tcp open msrpc

139/tcp open netbios-ssn

389/tcp open ldap

445/tcp open microsoft-ds

464/tcp open kpasswd5

593/tcp open http-rpc-epmap

636/tcp open ldapssl

2179/tcp open vmrdp

3268/tcp open globalcatLDAP

3269/tcp open globalcatLDAPssl

3389/tcp open ms-term-serv

5666/tcp open nrpe

轉(zhuǎn)載于:https://blog.51cto.com/dongdong008/1325549

總結(jié)

以上是生活随笔為你收集整理的域账号的登录过程的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。