در
این مطلب می خواهم به بررسی مراحلی بپردازم که در طی آن یک کاربر به domain وارد می شود. برای چک
کردن
username و password d ی که کاربر وارد می کند مراحل زیر بین کامپیوتر
کلاینت و DC اتفاق می افتد:
موضوعات مرتبط: اکتیو دایرکتوری
- کاربر اطلاعات کاربری مورد نیاز را وارد می کند. username, password, domain name
- در این لحظه Local Security Authority LSA پسورد وارد شده را هش می کند سپس به وسیله آن زمان کامپیوتر را رمزنگاری می کند. سپس زمان رمزنگاری شده را به صورت عادی (بدون رمزنگاری) همراه با زمان رمزنگاری شده در پکیج ساخته شده قرار می دهد. این پکیج که به آن authenticator گفته می شود توسط LSA به پکیج Kerberos بر روی کامپیوتر کلاینت تبدیل می شود.
- سپس authenticator به Kerberos Distribution Center (KDC) یا محل ذخیره سازی حساب های کاربری بر روی یک DC فرستاده می شود.
- در این لحظه KDC زمان قرار داده شده در پکیج (بدون رمزنگاری) را با زمان خود چک می کند. در صورتی که اختلاف زمانی بین زمان پکیج و زمان سرور بیش از پنج دقیقه (این مقدار به صورت پیش فرض می باشد، می توان به وسیله policy ها این مقدار را عوض کرد Policy مربوط به این تنظیم با نام Maximum tolreance for computer clock synchronization) باشد. سرور عملیات authentication را لغو می کند. در غیر این صورت پروسه authentication ادامه پیدا می کند.
- سپس KDC به وسیله هش پسوردی که بر روی هارد خود ذخیره کرده است زمان قرار داده شده درون پکیج (زمان رمزنگاری نشده) را رمزنگاری می کند.
- در صورتی مقدار بدست آمده با مقدار رمزنگاری شده در پکیج یکی بود، سرور به کلاینتی که authenticate شده یک TGT می فرستد. این TGT شامل اطلاعات رمزنگاری شده ای می باشد که فقط بر روی همان کامپیوتری که کاربر login کرده است قابل استفاده می باشد. همچنین شامل اطلاعاتی در مورد user SID و group SID هایی می شود که کاربر عضو آنها می باشد.
موضوعات مرتبط: اکتیو دایرکتوری
تاريخ : چهارشنبه بیست و پنجم اردیبهشت ۱۳۹۲ | 7:17 | نویسنده : حمید مقصودی |