Kerberos中一些名词的简称及含义如表所示: Kerberos协议有两个基础认证模块:AS_REQ & AS_REP和TGS_REQ & TGS_REP,以及微软扩展的两个认证模块 S4U 和 PAC 。S4U是微软为了实现委派而扩展的模块,分为 S4U2Self 和 S4U2Proxy 。在Kerberos最初设计的流程里只说明了如何证明客户端的真实身份,但是并没有说明客户...
提及“ enctype ”的错误通常表示Principal、客户端、服务器和KDC支持的加密类型不匹配。 GSS initiate failed [Caused by GSSException: Failure unspecified at GSS-API level / (Mechanism level: Request is a replay (34)] KDC会在短时间内看到来自同一Principal名称的多个身份验证请求,并拒绝该请求以防止“中间...
进一步,用户可以在请求票据时通过指定KERB-PA-PAC-REQUEST字段来避免包含 PAC。 Messages:kerberos 使用多种 messages: KRB_AS_REQ: Used to request the TGT to KDC. KRB_AS_REP: Used to deliver the TGT by KDC. KRB_TGS_REQ: Used to request the TGS to KDC, using the TGT. ...
TGS(ticket granting service) 作用:为client生成某个服务的ticket,票据授权服务 AS_REQ(request) Client 发送用户名 (比如Tom) 到 KDC (Key Distribution Center)以向 AS (Authentication Service)请求 TGT 票据等信息 AS_REP(response) 收到请求后,AS 生成随机字符串 Session Key,使用 Tom 的 NTLM Hash 对 Se...
3034 00:59:30.1834048 Client1.contoso.com DCA.contoso.com KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/iisserver.contoso.com 域控制器DCA.contoso.com會回應 Kerberos 要求,其具有具有 Kerberos 票證的 TGS 回應。 輸出複製
可以请求域内任何一个服务的TGS票据,具体内容可以参考Windows内网协议学习Kerberos篇之TGSREQ& TGSREP) 3.用户拿着TGS票据去请求服务,服务使用自己的hash解密TGS票据。 如果解密正确,就拿着PAC去KDC那边询问用户有没有访问权限,域控解密PAC。 获取用户的sid,以及所在的组,再判断用户是否有访问服务的权限,有访问权限(...
AP_REQ: Client拿着TGS票据去请求服务 AP_REP: 服务使用自己的hash解密TGS票据。如果解密正确,就拿着PAC去KDC那边问Client有没有访问权限,域控解密PAC。获取Client的sid,以及所在的组,再根据该服务的ACL,判断Client是否有访问服务的权限。 0x02 kerberos 测试工具 ...
每当用户需要访问一个network service时,client会利用TGT向TGS(ticket-granting server)请求获得针对该特定网络服务的一个新的ticket。之后,用户可以利用该service ticket来向该network service实现authentication。 1.1.4 How Kerberos works KDC就是受信任的第三方(trusted third party arbitrator),KDC上运行着2个重要的Ke...
TGS Request大致内容: Authenticator:(Client info + timestamp)通过 TGS Session Key加密 TGT :(TGS Session Key + Client info + End Time) Client info :Domain name/ Client Server info :Client试图访问的 Server 时间戳 TGS收到 TGS Request后需要验证 TGT 和 Authenticator;因为 Authenticator 被TGS Session...
The client sends a TGS-REQ to the KDC. A TGS-REQ is basically a special kind of AP-REQ that requests a ticket for another service. In this case, the TGS-REQ contains a request for a ticket for the service that the client wishes to access. The TGS-REQ contains the ticket for the ...