Active Directory.pdf - Gattner

Kerberos-Sicherheit 285
• Proxy Dieses Ticketflag weist darauf hin, dass das Dienstticket von einem übertragbaren TGT
erhalten wurde.
• Verlängerbar Zeigt an, dass das Ticket erneuert werden kann. Dieses Flag wird in Verbindung
mit den Feldern EndTime und Renew-Till verwendet, damit Tickets im KDC regelmäßig erneuert
werden.
• Anfang Zeigt an, dass es sich um ein TGT (Ticket Granting Ticket) handelt.
Weitere Flags sind unter anderem May Postdate, Invalid, HW Auth und OK As Delegate. Nachdatierte
Tickets können im Voraus zur Batchverarbeitung etc. angefordert werden, sind jedoch bis zu
dem Zeitpunkt, zu dem sie in Kraft treten, als ungültig gekennzeichnet. Ein KDC muss das Ticket
validieren und das Flag Ungültig zum gegebenen Zeitpunkt entfernen.
Robert Greene
Microsoft Support Escalation Engineer
Dieser Prozess zum Erlangen des Zugriffs auf eine Ressource im Netzwerk bedeutet, dass das KDC
nur während der anfänglichen Clientanmeldung und beim ersten Zugriffsversuch des Clients auf eine
bestimmte Ressource auf einem bestimmten Server einbezogen wird. Bei der ersten Anmeldung erhält
ein Benutzer ein TGT, das dem Client für die Lebensdauer des Tickets Zugriff auf das KDC erteilt.
Wenn der Client sich mit einer Netzwerkressource zu verbinden versucht, wendet sich der Client
erneut an das KDC und erhält ein Dienstticket für den Zugriff auf die Ressource. Dieses Dienstticket
enthält die Autorisierungsdaten für den Benutzer. Nach einer erfolgreichen Authentifizierung verwendet
das lokale Sicherheitssubsystem diese Daten zum Erstellen eines Zugriffstokens auf dem Computer,
der den Dienst oder die Ressource hostet, sodass der Server den Grad des Ressourcenzugriffs
ermitteln kann, der dem Benutzer zugeteilt werden soll.
Domänenübergreifende Authentifizierung
Derselbe Authentifizierungsprozess gilt für die Authentifizierung eines Benutzers über Domänengrenzen
hinweg. Beispielsweise besitzt ein Unternehmen eine Gesamtstruktur mit drei Domänen,
wie in Abbildung 8.5 gezeigt.
Wenn ein Benutzer mit einem Konto in TreyResearch.com zum Domänenstandort von NA.ADatum.com
reist und sich auf einem Rechner in der Domäne NA.ADatum.com am Netzwerk anzumelden
versucht, muss die Clientarbeitsstation sich mit einem Domänencontroller (KDC) in der Domäne
TreyResearch.com sowie in NA.ADatum.com und ADatum.com verbinden können. In diesem Fall
sendet der Clientcomputer die ursprüngliche Anmeldeanforderung an den Domänencontroller
NA.ADatum.com. Der Domänencontroller stellt fest, dass das Benutzerkonto sich in der Domäne
TreyResearch.com befindet und muss daher die Clientarbeitsstation an diese Domäne verweisen.
Wenn alle Domänen mit Shortcutvertrauensstellungen konfiguriert wurden, kann der Domänencontroller
den Clientcomputer direkt an einen Domänencontroller in der Domäne TreyResearch.com
verweisen. Wenn jedoch keine Shortcutvertrauensstellungen erstellt wurden, gibt es keine direkte
Vertrauensstellung zwischen NA.ADatum.com und TreyResearch.com. In diesem Fall verweist
der NA-Domänencontroller den Clientcomputer an einen Domänencontroller in der Domäne
ADatum.com. Der Verweis umfasst ein TGT für ADatum.com, das mit einem bereichsübergreifenden
Sitzungsschlüssel verschlüsselt wurde, der sowohl von ADatum.com als auch von
NA.Adatum.com genutzt wird. Dieses TGT ermöglicht den Zugriff auf den KDC-Dienst auf dem
Domänencontroller in der Domäne Adatum.com.