开启pre-authentication:kadmin.local -q "modprinc +requires_preauth dap2" 命令示例如下: 一般来讲,普通用户的密钥一般不会太复杂容易被暴力破解,所以对于普通用户我们应该开启 requires_preauth(Pre-authentication should be enabled for user accounts, or else the security of the account’s Kerberos authentic...
这里表示pre-authentication data 预认证数据,有两项分别是 pA-ENC-TIMESTAMP:按照etype的加密类型,用用户hash加密时间戳,作为value 发送给AS服务器。然后AS服务器那边有用户hash,使用用户hash进行解密,获得时间戳,如果能解密,且时间戳在一定的范围内,则证明认证通过返回 TGT票据和enc_part(里面包含有session-key)。
AS(Authentication Service)通过它接收到的KRB_AS_REQ验证发送方的是否是在Client name & realm中声称的那个人,也就是说要验证发送放是否知道Client的Password。所以AS只需从Account Database中提取Client对应的Master Key对Pre-authentication data进行解密,如果是一个合法的Timestamp,则可以证明发送放提供的是正确无误...
Pre-authentication是Kerberos V5版本引入的一种增强安全措施,旨在防止AS-REP Roasting攻击,即通过截取并破解AS-REP数据包。它在认证过程中增加了额外的验证步骤,提高了协议的安全性。然而,pre-authentication的启用状态在不同kerberos实现中可能会有所不同。在客户端,可以通过调整日志级别来获取更详细的错...
Pre-authentication data:包含用以证明自己身份的信息。说白了,就是证明自己知道自己声称的那个account的Password。一般地,它的内容是一个被Client的Master key加密过的Timestamp。 Client name & realm: 简单地说就是Domain name\Client Server Name:注意这里的Server Name并不是Client真正要访问的Server的名称,而我们...
通过抓包工具了解下 kerberos的 pre-authentication是如何工作的 1 一个因keytab文件失效导致认证失败的问题 某客户大数据集群中的HIVE开启了kerberos安全认证(hive.server2.authentication=kerberos),某业务应用使用管理员提供的pricipal和keytab创建到 hs2 的JDBC链接时频繁报错,通过命令行验证该prinical和keytab也频繁报错(...
我们前文说过,ASREQ & ASREP 认证的过程是 Kerberos 身份认证的第一步,该过程又被称为预身份验证。预身份验证主要是为了防止密码脱机爆破。而如果域用户设置了选项 "Do not require Kerberos preauthentication"(该选项默认没有开启)关闭了预身份验证的话,攻击者可以使用指定的用户去请求票据,向 ...
I am sure that like me you too have seen many organizations (if not all) where this security feature of Kerberos pre-authentication is disabled for some (read many) users in order to support some applications that do not support the security feature offered by Kerberos pre-auth....
Pre-authentication data:包含用以证明自己身份的信息。说白了,就是证明自己知道自己声称的那个account的Password。一般地,它的内容是一个被Client的Master key加密过的Timestamp。 Client name & realm: 简单地说就是Domain name\Client Server Name:注意这里的Server Name并不是Client真正要访问的Server的名称,而我们...
而如果域用户设置了选项 "Do not require Kerberos preauthentication"(该选项默认没有开启)关闭了预身份验证的话,攻击者可以使用指定的用户去请求票据,向域控制器发送 AS_REQ 请求,此时域控会不作任何验证便将 TGT 票据和加密的Session-key 等信息返回。因此攻击者就可以对获取到的加密 Session-key 进行离线破解,...