开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

MS Active Directory和Linux:使用kerberos进行身份验证

MS Active Directory（以下简称AD）和Linux都是常见的身份验证和访问控制解决方案。它们使用Kerberos协议来实现身份验证。

MS Active Directory（微软活动目录）：
- 概念：MS Active Directory是微软开发的目录服务，用于管理网络中的用户、计算机和其他资源。它提供了集中式身份验证、授权和访问控制的功能。
- 分类：AD属于集中式身份验证和访问控制解决方案。
- 优势：
  - 集中管理：AD允许管理员集中管理用户、计算机和其他资源的访问权限。
  - 单一登录：用户可以使用他们的AD凭据登录到多个应用程序和服务。
  - 组织架构：AD支持组织架构的层次结构，可以根据需要创建组织单元、组和用户。
- 应用场景：AD广泛应用于企业内部网络中，用于管理用户身份验证和访问控制。
- 腾讯云相关产品：腾讯云提供了类似于AD的身份认证和访问控制服务，例如腾讯云访问管理（CAM）。CAM可以帮助用户管理腾讯云资源的访问权限，详情请参考腾讯云访问管理。

Linux和Kerberos：
- 概念：Kerberos是一个网络身份验证协议，用于在计算机网络中安全地进行身份验证。Linux操作系统可以使用Kerberos协议来实现用户身份验证。
- 分类：Kerberos是一种网络身份验证协议。
- 优势：
  - 安全性：Kerberos使用加密技术来保护用户凭据的传输，提供更高的安全性。
  - 单一登录：一旦用户通过Kerberos进行身份验证，他们可以访问网络中的多个服务而无需再次输入凭据。
- 应用场景：Kerberos广泛应用于Linux服务器和网络环境中，用于实现用户身份验证和访问控制。
- 腾讯云相关产品：腾讯云提供了云服务器（CVM）和云原生应用服务（TKE）等产品，可以用于部署和管理运行Linux操作系统的服务器。详情请参考腾讯云云服务器和腾讯云云原生应用服务。

总结：MS Active Directory和Linux都使用Kerberos协议进行身份验证。AD是微软的目录服务，用于集中管理用户和资源的访问权限；而Linux使用Kerberos协议来实现用户身份验证。腾讯云提供了类似的身份认证和访问控制服务，例如腾讯云访问管理（CAM），以及云服务器和云原生应用服务等产品来支持部署和管理Linux服务器。

相关搜索:通过Kerberos使用Active Directory进行身份验证使用MS_CHAP针对active directory进行空闲身份验证使用active directory API DirectoryEntry进行身份验证使用Spring Boot和Java进行Active Directory LDAP身份验证在Linux上使用Java对Active Directory进行身份验证是否使用Active Directory身份验证？通过Active Directory进行Web API身份验证使用本地active directory进行.Net核心身份验证 Spring boot使用Active Directory进行mvc ldap身份验证使用python进行Kerberos身份验证使用react进行Kerberos身份验证如何使用Cypress.io通过MS Active Directory登录？如何在Active Directory中使用NTLM身份验证如何使用Spring Security对Active Directory服务器进行身份验证？使用Active Directory在Oracle Apex应用程序中进行身份验证使用Asp.Net MVC对Active Directory用户进行内部和外部身份验证使用Kerberos和Npgsql进行C# PostGres身份验证使用Active Directory和禁用帐户的SSO 使用带有Spring Security的active directory LDAP进行身份验证时凭据错误使用Active Directory作为CAS的身份验证提供程序

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

CDP私有云基础版用户身份认证概述

对于任何计算环境来讲，身份验证是最基本的安全要求。简单来说，用户和服务必须先向系统证明其身份（身份验证），然后才能在授权范围内使用系统功能。身份验证和授权携手并进，以保护系统资源。授权有多种方式处理，从访问控制列表（ACL）到HDFS扩展的ACL，再到使用Ranger的基于角色的访问控制（RBAC）。

02

Cloudera安全认证概述

身份验证是任何计算环境的基本安全要求。简单来说，用户和服务必须先向系统证明其身份（身份验证），然后才能在授权范围内使用系统功能。身份验证和授权携手并进，以保护系统资源。授权使用多种方式处理，从访问控制列表（ACL）到HDFS扩展ACL，再到使用Ranger的基于角色的访问控制（RBAC）。

01

0784-CDP安全管理工具介绍

本文档描述如何使用多种安全管理工具来保护CDP环境。重点介绍安全管理工具与CDP环境之间的集成点，但不会探讨这些工具的核心功能。

02

SPN信息扫描

在使用Kerberos身份验证的网络中，必须在内置计算机帐户（如NetworkService或LocalSystem）或用户帐户下为服务器注册SPN。对于内置帐户，SPN将自动进行注册。但是，如果在域用户帐户下运行服务，则必须为要使用的帐户手动注册SPN。因为域环境中每台服务器都需要在Kerberos身份验证服务注册SPN，所以我们可以直接向域控制器进行查询我们需要的服务的SPN，就可以找到我们需要使用的服务资源在哪台机器上。Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。如果在整个域中的计算机上安装多个服务实例，则每个实例都必须具有自己的SPN。如果客户端可能使用多个名称进行身份验证，则给定的服务实例可以具有多个SPN。例如，SPN总是包含运行服务实例的主机名称，所以服务实例可以为其主机的每个名称或别名注册一个SPN。

01

kerberos认证下的一些攻击手法

Kerberos黄金票据是有效的TGT Kerberos票据，因为它是由域Kerberos帐户（KRBTGT）加密和签名的。TGT仅用于向域控制器上的KDC服务证明用户已被其他域控制器认证。TGT被KRBTGT密码散列加密并且可以被域中的任何KDC服务解密的。

06

Active Directory中获取域管理员权限的攻击方法

攻击者可以通过多种方式获得 Active Directory 中的域管理员权限。这篇文章旨在描述一些当前使用的比较流行的。此处描述的技术“假设破坏”，即攻击者已经在内部系统上站稳脚跟并获得了域用户凭据（也称为后利用）。

01

配置客户端以安全连接到Kafka集群–LDAP

在上一篇文章《配置客户端以安全连接到Kafka集群- Kerberos》中，我们讨论了Kerberos身份验证，并说明了如何配置Kafka客户端以使用Kerberos凭据进行身份验证。在本文中，我们将研究如何配置Kafka客户端以使用LDAP（而不是Kerberos）进行身份验证。

02

Active Directory 域服务特权提升漏洞 CVE-2022–26923

经过身份验证的用户可以操纵他们拥有或管理的计算机帐户的属性，并从 Active Directory 证书服务获取允许提升权限的证书。

04

在满补丁的Win10域主机上绕过图形接口依赖实现本地提权

在最近一次的活动目录（Active Directory）评估期间，我们以低权限用户的身份访问了一个完全修补且安全的域工作站。在尝试了许多不同的方法来提升本地权限后，我们发现了Elad Shamir发表的一篇题为“Wagging the Dog：滥用基于资源的约束委派攻击活动目录”[1]的博文。

01

保护Hadoop环境

Hadoop于2007年首次发布时，其目的是在受信任的环境中管理大量Web数据，因此安全性不是重点，也不是聚焦点。随着采用率的上升和Hadoop演变成企业技术，它逐渐发展成为一种不安全的平台而享有盛誉。最初的Hadoop安全性的大多数缺陷已在后续版本中得到解决，但感觉变化比较缓慢。Hadoop的安全声誉和现实远不匹配。

01

SPN服务主体名称发现详解

Kerberos是一种支持票证身份验证的安全协议。如果客户端计算机身份验证请求包含有效的用户凭据和服务主体名称 (SPN)，则 Kerberos 身份验证服务器将授予一个票证以响应该请求。然后，客户端计算机使用该票证来访问网络资源。在内部网络中，SPN扫描通过查询向域控制器执行服务发现。这对于红队而言，可以帮助他们识别正在运行重要服务的主机，如终端、交换机、微软SQL等，并隐藏他们。此外，SPN的识别也是kerberoasting攻击的第一步。

00

Kerberoasting攻击

当发布Windows 2000和Active Directory时，微软打算在 Windows NT 和Windows 95 上也支持Active Directory，这意味着不仅会产生各种各样的安全问题也会导致更多不安全的配置方式。同时，也意味着，微软要保证在多个不同版本的 Windows 客户端上均支持Kerberos协议。要实现这个想法的一个简单的办法就是在Kerberos协议中使用RC4加密算法，并将NTLM密码哈希作为该加密算法的私钥，该私钥可用于加密或签名Kerberos票证。因此，对于攻击者来说，一旦发现了 NTLM 密码哈希，就可以随意使用，包括重新拿回Active Directory域权限（比如：黄金票证和白银票证攻击）。

03

我所了解的内网渗透 - 内网渗透知识大总结

一般想知道哪一台是域控知道自己内网的DNS就可以了，一般域控安装都有安装DNS有些不止一台，其次是通过扫描获取开放端口为389机器或者使用NLTEST命令查看。最后就是各种网络查看查看域控是哪台主机

05

红队战术-从域管理员到企业管理员

一个企业的整个网络划分是非常巨大了，甚至有多个林，而这个域森林权力最大还属企业管理员了，当我们拿到一个域的dc的时候，当然不是红队的终点，我们的最终的目标是企业管理员，只要我们拿下了企业管理员，整个企业内网才算真正拿下。

02

Kerberos 黄金门票

SID 历史记录是一项旧功能，可实现跨 Active Directory 信任的回溯。此功能在 Active Directory 首次发布以支持迁移方案时就已到位。当用户通过身份验证时，用户所属的每个安全组的 SID 以及用户 SID 历史记录中的任何 SID 都将添加到用户的 Kerberos 票证中。由于 SID History 旨在跨信任工作，因此它提供了跨信任“模拟”。

02

Certified Pre-Owned

Certified Pre-Owned是安全研究员@（Will Schroeder和Lee Christensen）在6月17号提出的针对Active Directory 证书服务的一个攻击手法，并于8月5日在Black Hat 2021中进行展示。

02

内网渗透-kerberos原理详解

Kerberos协议是一个专注于验证通信双方身份的网络协议，不同于其他网络安全协议的保证整个通信过程的传输安全，kerberos侧重于通信前双方身份的认定工作，帮助客户端和服务端解决“证明我自己是我自己”的问题，从而使得通信两端能够完全信任对方身份，在一个不安全的网络中完成一次安全的身份认证继而进行安全的通信。

01

内网协议NTLM之内网大杀器CVE-2019-1040漏洞

Preempt的研究人员发现了如何在NTLM身份验证上绕过MIC(Message Integrity Code)保护措施并修改NTLM消息流中的任何字段（包括签名）。该种绕过方式允许攻击者将已经协商签名的身份验证尝试中继到另外一台服务器，同时完全删除签名要求。所有不执行签名的服务器都容易受到攻击。这个漏洞其实就是可以绕过NTLM MIC的防护，也是NTLM_RELAY漏洞。攻击者利用该漏洞可以绕过NTLM中的MIC（Message Integrity Code）。攻击者可以修改已经协商签名的身份验证流量，然后中继到另外一台服务器，同时完全删除签名要求。通过该攻击方式可使攻击者在仅有一个普通域账号的情况下，运程控制域中任意机器（包括域控服务器）。

03

利用黄金证书劫持域控

域控渗透最常见的域持久性技术之一是黄金票据攻击，它涉及使用“ krbtgt ”的 NTLM 哈希创建 kerberos 票证。但是在部署了 Active Directory 认证服务 (AD CS) 的服务器的域中，可能会在发生入侵时被滥用以实现域持久性。通过窃取 CA 证书的私钥，红队可以伪造和签署证书以用于身份验证。在部署 Active Directory 证书服务 (AD CS) 期间，域中默认启用基于证书的身份验证。因此，需要将这些系统视为第 0 层资产并得到适当保护。

03

2022-05微软漏洞通告

微软官方发布了2022年05月的安全更新。本月更新公布了75个漏洞，包含26个远程执行代码漏洞、21个特权提升漏洞、17个信息泄露漏洞、6个拒绝服务漏洞、4个功能绕过以及1个身份假冒漏洞，其中8个漏洞级别为“Critical”（高危），66个为“Important”（严重）。建议用户及时使用火绒安全软件（个人/企业）【漏洞修复】功能更新补丁。

03

没有 SPN 的 Kerberoasting

服务主体名称 (SPN) 是 Active Directory (AD) 数据库中的记录，显示哪些服务注册到哪些帐户：

04

从 RPC 到 RCE - 通过 RBCD 和 MS-RPC 接管工作站

在 Active Directory 的默认配置中，可以在其 WebClient 服务运行时远程接管工作站 (Windows 7/10/11) 和可能的服务器（如果安装了桌面体验）。简而言之，这是通过以下方式完成的；

04

11-如何为Cloudera Manager集成Active Directory认证

Fayson在前面一系列文章中介绍了AD的安装及与CDH集群中各个组件的集成，包括《01-如何在Window Server 2012 R2搭建Acitve Directory域服务》、《02-Active Directory安装证书服务并配置》、《03-Active Directory的使用与验证》、《04-如何在RedHat7上配置OpenLDAP客户端及集成SSSD服务和集成SSH登录》、《05-如何为Hive集成AD认证》、《06-如何为Impala集成AD认证》、《07-如何为Hue集成AD认证》、《08-如何为Navigator集成Active Directory认证》、《09-如何为CDSW集成Active Directory认证》和《如何为CDH集成Active Directory的Kerberos认证》。本篇文章Fayson主要介绍如何为Cloudera Manager集成Active Directory认证。

03

Windows日志取证

Windows常见安全事件日志ID汇总适用于：Windows Server 2016

01

Windows日志取证

Windows常见安全事件日志ID汇总适用于：Windows Server 2016

04

Azure Active Directory 蛮力攻击

Azure AD 无缝单点登录 (SSO) 改进了使用 Azure AD 标识平台（例如 Microsoft 365）的服务的用户体验。配置无缝 SSO 后，登录到其加入域的计算机的用户会自动登录到 Azure AD .

01

使用FreeIPA对Linux用户权限统一管理

在未部署统一身份管理系统时，管理员需要分别在每一台主机上为对应的系统管理员创建、维护账号和密码，无法进行统一的管理。当主机数量增加到一定程度后，也将难以进行有效的安全管理，对账号密码泄露等问题难以进行控制。统一身份认证系统可以帮助我们解决这一问题。Windows环境下可以使用域账号进行身份管理，而在Linux环境下，Freeipa可以快速、便捷的将linux系统接入，进行统一的身份认证和权限管理。

03

Kerberos相关问题进行故障排除| 常见错误和解决方法

此消息表明一个操作尝试要求以Kerberos的user/host@realm身份认证的操作，但票据cache中没有用于user/host@realm的票据。

03

红队提权 - 基于RBCD的提权

在这种情况下，我们利用这样一个事实，即从非特权用户上下文中，我们可以诱导以 NT AUTHORITY\SYSTEM 身份运行的本地服务通过 HTTP 对运行在 localhost 上的攻击者服务执行 NTLM 身份验证，使用主机的计算机帐户密码进行身份验证。然后，攻击者可以将该身份验证尝试中继到 LDAP 服务，以配置基于资源的约束委派 (RBCD) ，以允许攻击者控制的用户或计算机帐户冒充任何用户访问受害计算机。Elad Shamir 在他的文章“Wagging the Dog: Abusing Resource-Based Constrained Delegation to Attack Active Directory”中对这种攻击背后的理论基础进行了更深入的讨论。

04

从iis认证方式的学习到一个路由器漏洞的调试

Web使人们可以很方便的访问分布在世界各个角落里信息。但仅仅是方便还远远不够，并非所有的信息都适合在互联网上公开访问，我们需要保证只有特定的人才能看到我们的敏感信息并且执行特定的操作。 1 IIS的

05

2022-05微软漏洞通告

微软官方发布了2022年05月的安全更新。本月更新公布了75个漏洞，包含26个远程执行代码漏洞、21个特权提升漏洞、17个信息泄露漏洞、6个拒绝服务漏洞、4个功能绕过以及1个身份假冒漏洞，其中8个漏洞级别为“Critical”（高危），66个为“Important”（严重）。建议用户及时使用火绒安全软件（个人/企业）【漏洞修复】功能更新补丁。

02

08-如何为Navigator集成Active Directory认证

Fayson在前面的文章《01-如何在Window Server 2012 R2搭建Acitve Directory域服务》、《02-Active Directory安装证书服务并配置》、《03-Active Directory的使用与验证》、《04-如何在RedHat7上配置OpenLDAP客户端及集成SSSD服务和集成SSH登录》、《05-如何为Hive集成AD认证》、《06-如何为Impala集成AD认证》和《07-如何为Hue集成AD认证》。本篇文章Fayson主要介绍Navigator集成Active Directory认证。

04

未检测到的 Azure Active Directory 暴力攻击

Azure AD 无缝单点登录 (SSO) 改善了使用 Azure AD 标识平台（例如 Microsoft 365）的服务的用户体验。配置了无缝 SSO 后，登录到其加入域的计算机的用户将自动登录到 Azure AD .

02

配置客户端以安全连接到Kafka集群- Kerberos

这是有关Apache Kafka安全性的简短博客文章系列的第一部分。在本文中，我们将说明如何配置客户端以使用不同的身份验证机制对集群进行身份验证。

02

深入分析CVE-2022-26923 ADCS权限提升漏洞

https://www.xie-sec.com/detail/l_628764a1e4b01a485201cba3/4

02

2022-08微软漏洞通告

微软官方发布了2022年08月的安全更新。本月更新公布了141个漏洞，包含65个特权提升漏洞、32个远程执行代码漏洞、12个信息泄露漏洞、7个拒绝服务漏洞、7个安全功能绕过漏洞以及1个身份假冒漏洞，其中17个漏洞级别为“Critical”（高危），105个为“Important”（严重）。建议用户及时使用火绒安全软件（个人/企业）【漏洞修复】功能更新补丁。

01

Windows Remote Management (WinRM) 的认证类型及应用场景

Windows Remote Management（WinRM）是 Windows 的一项功能，允许管理员通过网络远程管理系统。WinRM 支持多种认证类型，以满足不同的安全需求和应用场景。本文将介绍 WinRM 支持的主要认证类型，以及它们的使用场景。

03

PetitPotam – NTLM 中继到 AD CS

在企业环境中部署 Active Directory 证书服务 (AD CS) 可以允许系统管理员利用它在不同目录对象之间建立信任。但是，它可能允许红队操作员对 AD CS 的 Web 界面进行 NTLM 中继攻击，以破坏网络。Web 界面用于允许用户获取证书（Web 注册），通过 HTTP 协议，不支持签名并接受 NTLM 身份验证。

01

在你的内网中获得域管理员权限的五种方法

早在2013年9月，蜘蛛实验室（ Spider Labs）就发表过一篇题为“SpiderLabs在你内网中获取域管的五大方式”的文章。这篇文章是我继该文的，应该说是非官方的“Part 2”部分。

05

干货 | 域渗透之域持久性：Shadow Credentials

https://www.dsinternals.com/wp-content/uploads/eu-19-Grafnetter-Exploiting-Windows-Hello-for-Business.pdf

03

配置启用基于SSL的LDAP(LDAPS)

默认情况下，LDAP 通信未加密。这使得恶意用户能够使用网络监控软件查看传输中的数据包。这就是许多企业安全策略通常要求组织加密所有 LDAP 通信的原因。为了减少这种形式的数据泄露，微软提供了一个选项：您可以启用通过安全套接字层 (SSL)/传输层安全性 (TLS) 的 LDAP，也称为 LDAPS。利用 LDAPS，您可以提高整个网络的安全性。

02

绝了！这7种工具可以监控AD（Active Directory）的健康状况

全球大约72%的企业使用 Microsoft Windows 服务器操作系统 (OS)，每台服务器都使用 Active Directory 将用户相关数据和网络资源存储在域中。

02

Active Directory 域安全技术实施指南 (STIG)

调查结果（MAC III - 行政敏感）查找 ID 严重性标题描述 V-8534 高的不同分类级别的 DoD 目录服务之间的互连必须使用经批准可与跨分类信任一起使用的跨域解决方案。如果不使用强大的跨域解决方案，那么它可能允许未经授权访问机密数据。为了支持不同分类级别的资源之间的安全访问，... V-8536 高的受控接口必须在 DoD 和非 DoD 系统或网络之间运行的 DoD 信息系统之间具有互连。 AD 信任关系的配置是用于允许一个域中的用户访问另一个域、林或 Kerberos 领域中的资

01

FreeIPA管理本地用户

FreeIPA可以快速、便捷的将linux系统接入，进行统一的身份认证和权限管理。

01

Windows 认证类型：使用场景和关系

Windows 提供了一系列的认证类型，包括 Basic、Kerberos、Negotiate、Certificate、CredSSP、NTLM、Digest等。这些认证类型在不同的应用场景中起到关键作用，也在某种程度上相互关联。本文将详细介绍这些认证类型，以及他们的使用场景和关系。

02

Windows事件ID大全

0 操作成功完成。 1 函数不正确。 2 系统找不到指定的文件。 3 系统找不到指定的路径。 4 系统无法打开文件。 5 拒绝访问。 6 句柄无效。 7 存储控制块被损坏。 8 存储空间不足，无法处理此命令。 9 存储控制块地址无效。 10 环境不正确。 11 试图加载格式不正确的程序。 12 访问码无效。 13 数据无效。 14 存储空间不足，无法完成此操作。 15 系统找不到指定的驱动器。 16 无法删除目录。 17 系统无法将文件移到不同的驱动器。 18 没有更多文件。 19 介质受写入保护。 20

06

蜜罐账户的艺术：让不寻常的看起来正常

本文介绍如何创建用作蜜罐（或蜜令牌）的帐户，这些帐户看起来像是提供了攻击者想要的东西（访问），但最终提供了防御者想要的东西（检测）。重点是使蜜罐帐户在 Active Directory 中看起来正常且“真实”，并且此前提应该在某种程度上可以移植到其他系统。

01

CDH6.3应知应会

Cloudera Manager是一个拥有集群自动化安装、中心化管理、集群监控、报警功能的一个工具，使得安装集群从几天的时间缩短在几个小时内，运维人员从数十人降低到几人以内，极大的提高集群管理的效率。

01

危险: 持续集成系统保护不好有多糟糕？|入侵系统完整过程 | 检查版本更新 | 禁止匿名用户

Jenkins是领先的开源自动化服务器，在开发团队中很受欢迎。最近，已经观察到以大型Jenkins服务器为目标来部署加密矿工的对手。他们还使用Jenkins发起了针对性的违规行为，以维护对开发人员环境的访问。有许多记录良好的博客文章，讨论了通过漏洞利用，Web控制台和漏洞利用后的利用以及对Jenkins的访问。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭