infosecurity
@tg_infosec
? Kerberos простыми (нет) словами.
• Очень объемная и содержательная статья про работу Kerberos:
Простое объяснение основ работы Kerberos;
Простое объяснение аутентификации между доменами;
Описание реализации передачи сообщений Kerberos как по UDP, так и по TCP;
Объяснение что такое «сервис» в понятии Kerberos и почему у «сервиса» нет пароля;
Объяснение почему в абсолютном большинстве случаев SPN служит просто для идентификации пользователя, из?под которого запущен «сервис»;
Как система понимает, к какому типу относить то или иное имя принципала;
Рабочий код на С++, реализующий алгоритм шифрования Kerberos с AES (код реализован с применением CNG);
Как передать X.509 сертификат в качестве credentials в функцию AcquireCredentialsHandle (PKINIT);
Как сделать так, чтобы «сервис» понимал чужие SPNs (одновременная работа с credentials от нескольких пользователей);
Почему GSS?API является основой для всего процесса аутентификации в Windows (да и в других ОС тоже);
Описание (со скриншотами из Wireshark) того, как именно передаётся AP?REQ внутри различных протоколов (LDAP, HTTP, SMB, RPC);
Простое описание для каждого из типов делегирования Kerberos;
Код для тестирования каждого из типов делегирования, который может быть выполнен на единственной рабочей станции, без какой?либо конфигурации кучи вспомогательных сервисов;
Описание User?To?User (U2U), а также код с возможностью протестировать U2U;
Ссылки на различный мой код, как то: реализация «whoami на S4U», реализация klist, библиотеки XKERB для запросов к SSPI и прочее.
https://habr.com/ru/articles/803163/
#ИБ #Kerberos
• Очень объемная и содержательная статья про работу Kerberos:
Простое объяснение основ работы Kerberos;
Простое объяснение аутентификации между доменами;
Описание реализации передачи сообщений Kerberos как по UDP, так и по TCP;
Объяснение что такое «сервис» в понятии Kerberos и почему у «сервиса» нет пароля;
Объяснение почему в абсолютном большинстве случаев SPN служит просто для идентификации пользователя, из?под которого запущен «сервис»;
Как система понимает, к какому типу относить то или иное имя принципала;
Рабочий код на С++, реализующий алгоритм шифрования Kerberos с AES (код реализован с применением CNG);
Как передать X.509 сертификат в качестве credentials в функцию AcquireCredentialsHandle (PKINIT);
Как сделать так, чтобы «сервис» понимал чужие SPNs (одновременная работа с credentials от нескольких пользователей);
Почему GSS?API является основой для всего процесса аутентификации в Windows (да и в других ОС тоже);
Описание (со скриншотами из Wireshark) того, как именно передаётся AP?REQ внутри различных протоколов (LDAP, HTTP, SMB, RPC);
Простое описание для каждого из типов делегирования Kerberos;
Код для тестирования каждого из типов делегирования, который может быть выполнен на единственной рабочей станции, без какой?либо конфигурации кучи вспомогательных сервисов;
Описание User?To?User (U2U), а также код с возможностью протестировать U2U;
Ссылки на различный мой код, как то: реализация «whoami на S4U», реализация klist, библиотеки XKERB для запросов к SSPI и прочее.
https://habr.com/ru/articles/803163/#ИБ #Kerberos
? 9
? 3
248 4.5K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram