Jump to content

Frage: Kerberos Ticket enthällt nur EINE SID oder mehrere

Sage24

Von Sage24
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Sage24 Community Regular

Sage24   10

Geschrieben
Geschrieben

Hallo zusammen,

bin gerade für die 298/299 am lernen und habe schon so einiges zum Kerberos gelesen.

Meine Frage:

Man erhällt ja über Umwege (LSA&DC) irgendwann ein Sitzungsticket. Was beinhaltet dieses Sitzungsticket? Ist dort nur die eine SID (die des Benutzerkontos) oder sind dort auch die SIDs der Gruppen, in denen der Benutzer Mitglied ist?

 

Möglichkeit 1:

Dann müsste jede Ressource erstmal prüfen, was denn die eine SID welche an die Ressource möchte darf. Bei einer Netzwerkstörung wäre dies also nicht mehr möglich.

 

Möglichkeit 2:

Die Ressource prüft, ob die SIDs, die der Benutzer durch die Gruppen ebenfalls hat mit den DACL-Listen der Ressourcen übereinstimmen. Wenn dem so ist => Access Granted!

Dies wäre eigentlich auch eine bessere Möglichkeit, da bei einem Netzwerkausfall der Zugriff gewährt werden könnte.

Daim Veteran

Daim   12

Geschrieben
Geschrieben

Servus,

 

der Benutzer bekommt bei der Anmeldung ein Access-Token und dabei werden die Gruppenmitgliedschaften ausgewertet. Änderungen an den Gruppenmitgliedschaften können und werden NICHT "online" ausgewertet. Das Access Token wird nur bei der Anmeldung erstellt und wird nicht während der laufenden Benutzer-Sitzung automatisch aktualisiert.

 

Bei der Benutzer-Anmeldung erzeugt der Client mit Hilfe seines Anmelde-DCs ein Access-Token für den User. In diesem Token steht seine aktuelle SID, die SID seiner SID-History und die SIDs aller Gruppen, denen der Benutzer angehört.

 

Mit diesem Token wird dem Benutzer erlaubt, auf die Netz-Ressourcen zuzugreifen.

In den Ressourcen (z.B. Freigaben) ist ebenfalls die SID hinterlegt (die Namen der Zugriffsberechtigten). Dann vergleicht der Server die SID in den ACLs mit der SID

im Access-Token des Benutzers.

 

Der Client findet über das DNS seinen KDC der ihm sein Ticket ausstellt.

 

Yusuf`s Directory - Blog - Kerberos - Das Authentifizierungsprotokoll unter Windows Server 2003

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...