!_30 Posted August 22, 2006 Report Posted August 22, 2006 Salut !Acesta se doreste sa fie un tutorial complet , avand ca scop intelegerea unui protocol de "autentificare in retea" , mai pe scurt , cum se face toata tranzactia de cand scriem username+password+Domain si cum? si prin ce modalitati {transparente noua,adica noi nu le vedem si dureaza putin} , ne autentificam la server.Tutorialul se vrea unul complet si inteligibil majoritati , care au o mica baza "destul de greuta " in retele.Este de remarcat ca acest tutorial se bazeaza pe autentificari in retele { pe controloare de domenii , ce contin in baza de date , Active Directory (AD) , usere , la care pc-uri remote se conecteaza }.Dupa cum probabil nu stiti Kerberos , protocolul de autentificare ales de mine , nu este singurul , mai sunt si altele gen NLTM.{sunt acronime , fiecare litera simbolizeaza un cuvant englezesc}.De ce am ales insa acest protocol ? Simplu deoarece mi-era lene sa scriu de amandoua . Glumeam , am ales Kerberos deoarece este la versiunea a 5-a , un protocol de autentificare { in retea } "foarte bun" as zice , oricum chestia e relativa , orice e relativ nu ? si este folosit , mai bine zis este "apt" spre a fi folosit in retele mari si mijloci , unde traficul de autentificare e destul de intens "De cate ori dati voi log-off si log-on ?".Un alt atuu al acestui protocol de autentificare este securitatea "destul de buna" , chiar "buna" putem spune care n-eo ofera , adica pe romaneste :" nu trimite parola + userul plain text , adica user : goe , parola : n00b , ca sa fie sniferite de orice "lamer" care si-a instalat un sniffer pe retea , ci le trimite "foarte bine" securizate { encryptate } , pentru ca nu "orice lamer" sa gaseasca parolele { hashuite , etc..} .Ca sa fiu mai precis {acest protocol , cum i-am zis noi Kerberos foloseste o cheita , un cod i-am putea spune } prin care securizeaza { un mod de a spune } acele frame-uri care sunt trimise pe retea spre a face "negociatunile" de autentificare intr-un anumit domeniu pe retea.-Incepand cu inceputul , cand apasam CTRL+ALT+DELETE , cred ca stiti cu toti , se apeleaza un DLL pentru a ne arata "mica fereastra" unde noi punem "user+parola+domeniu+etc".-Urmeaza normal , sa tastam userul si parola { daca dam option's } putem pune si un domeniu , la care ne autentificam { doar asta face Kerberos , autentificare pe domenii } . Ce se intampla mai departe , e "transparent" noua , adica vedem ceva de genu "loading" si ne pune sa asteptam , insa computerul are multe de furca in tot acest timp,si asta voi prezenta eu mai jos.{am uitat sa mentionez , nu e nevoie sa intelegeti de ce si cum , si ce se intampla , dar poate veti intelege o data si odata " de ce atatea log-offuri vs log-onuri pe platformele Windows", deci sper ca mai veti urmari cu "ceva atentie" ca altfel nu se poate.-aceste informatii sunt trimise la LSA , complicat de explicat dar el se ocupa in continuare cu autentificare si trimiterea "cererilor" de autentificare in domeniu.-ce se intampla apoi e relativ simplu , clientul { de la LSA } , clientul adica PC-ul de pe care va logati in domeniu , trimite o "cerere de autentificare in domeniu" , unde spune : username+parola+timpul la care cere , adica ceva de genu : Fratele meu , na cine sunt , uita-te pe buletin , asta e parola secreta , ii sufla la ureche codu , uite-te la ceas , am ajuns la ce ora trebuia , mai departe , cel de la poarta se duce sa vorbeasca cu sefii { stiind cine a venit } spre a-l loga in domeniu , adica a-l primi "la interviu". Corect ? explicatie de clasa 6-a. -Clientul , adica PC-ul de pe care va logati asteapta un tichet , care-l lasa sa sustina interviul { stiti cum va da la policlinica fara plata , o foaie mica de carton cu un numar pe ea , sau la doctor }.Acesta in limbaj informatic se numeste TGT , si trebuie dat de domeniu {de o parte a domeniului numita KDC , adica secretara de la doctor , "aia cu craci goi" , care va da bonu , si stati de va lungesc urechile la coada.Aici nu stati , desi sunt multe autentificari de facut de DC , deaorece , Kerberos , se misca repede si e bun , de aceea vorbim de el.-KDC-ul , decrypteaza informatiile trimise de client { adica uite cine sunt vreau sa ma autentific , vezi daca ii totul bine si da-mi drumu } , aici se foloseste chieta aia de decryptare , codul acela de care vorbeam la inceputul lectiei .-KDC-ul , partea aia din domeniu , de care va vorbeam "secretara cu craci goi", va da bonul , PC-ul dumneavoastra , adica TGT-ul cum se numea , am vorbit mai devreme, dar ce scrie pe bon { in limbaj romanesc , apoi explicam si in limbaj informatic } : o cheie de sesiune { adica , te baga in registri , daca nu esti cumva , pe PC-ul lor la doctor acolo , iti pune un numar de autentificare sa stie cine esti , scrie si numele userului { pacientului } , spune si cat dureaza TGT-ul , adica cat poti sa stai inauntru cand intri { fara sa te injure cei care asteapta } , trebuie sa fim politicosi , in limita bunului simt nu ? si mai sunt si alte chestii aditionale { gen ca-ti baga in baza de date informatii private gen CNP-ul , strada , numar - e-mail , etc asta in limbah informatic ultima} , sa stie cu cine are de aface. { daca floodezi sa te prinda si sa trimita garda la tine la usa , clar nu ?}.-pe bilet mai e si un SID pentru user , si pentru grupurile din care face parte userul.-SID-urile sunt date inapoi la LSA , cel care a trimis initial cererea " pentru a face un token " , o folie cu ce paote face si ce nu poate face , ce resurse poate accesa si ce resurse nu pooate accesa un user.{la ce doctor se poate duce free si la care nu }.-cand clientul doreste sa acceseze o resursa dupa ce s-au facut toate tranzactiile si are un TGT , etc , clientul foloseste TGT-ul { clientul iniial pentru a cere un client de servicu , un alt sub-bon , la aceasi secretara cu craci goi , pentru a putea accesa resursele , aceste mini-bonuri , TGT service sunt si ele encryptate , doar e Kerberos nu ? -si apoi clientul arata biletul , TGT tichet ,direct la network service , direct la doctor , pentru a putea avea acces la resursa/resursele respective.-suntem hackeri nu ? Ne gandim acuma ca daca "un user are full access la X Files" , si noi nu avem decat "Deny Full Access" si alfam unde tine acele tichete , facem cum facem le furam si ne prezentam noi cu ele la usa X-files ? si furam informatiile ? {desi Kerberos e mare barosan }.-Desigur nu sunt primu care m-am gandit la asta , cei care au facut acest protocol de autentificare s-au gandit deja la aceasta chestie , si aceste tichete , TGT service , sau TGS sunt tinute intr-un spatiu din memorie { RAM } , care e bine pazit de LSA , un cache .Cand dai logoff , bau se duce tot , de retinut nu sunt tinute pe disc informatiile si sunt bine pazite.-daca expira tichetele se intampla toata chestia de mai sus , si se reinoiesc.Cand Kerberos da gres , ca backup e folosit NLTM , de care vorbeam mai sus , daca nici asta nu merge , insemana ca e vreo eroare si userul u e in baza de date a controlului de domeniu ( a DC-ului ) , si apare eroare bine stiuta { se intampla cand gresit parola sau scriem cu uper-case parola , userul poate fi scris si cu uper-case si cu mini-case , litere mari si litere mici intercalate ca nu conteaza , acelasi sistem foloseste si Yahoo Mail/Messenger si Gmail sau Googler Talk , Skype sau bine-cunoscutul HI5.com.eroare este : The system could not log you on. Make sure your User name and domain are correct, then type your password again. Letters in passwords must be typed using the correct case. Make sure that Caps Lock is not accidentally on-Sper ca tutorialul a fost destul de interactiv , mai ales secretara cu craci goi ,ati inteles si ceva si nu am "batut" tastele degeaba.Salve { tutorial exclusiv de !_30 , asta pentru cei ce-si insusesc tutorialele si isi acorda credite nemeritate }. Quote
