Chapter 1 Securing Your Server and Network(9):使用Kerberos用于身份验证

最新推荐文章于 2024-04-20 18:51:25 发布
置顶 最新推荐文章于 2024-04-20 18:51:25 发布
阅读量4.4k 收藏 2
点赞数 1
分类专栏: 数据库管理 SQLServer2012SecurityCookBook 企业管理 DBA 安全 SQL Server Security 文章标签: Database 安全 security sql server Kerberos
数据库管理 同时被 3 个专栏收录
277 篇文章 38 订阅
订阅专栏
DBA
186 篇文章 6 订阅
订阅专栏
安全
65 篇文章 0 订阅
订阅专栏
原文出处:http://blog.csdn.net/dba_huangzj/article/details/38332605,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349

未经作者同意,任何人不得以“原创”形式发布,也不得已用于商业用途,本人不负责任何法律责任。

        前一篇:http://blog.csdn.net/dba_huangzj/article/details/38263043

 

前言:

 

在活动目录(Active Directory)中,有两种身份验证机制:NTLM和Kerberos。其中NTLM(NT LAN Manager)是基于旧版加密方式的授权协议,微软不建议再使用。详情可见:http://msdn.microsoft.com/en-us/library/cc236715.aspx

Kerberos是一个免费的软件协议,有MIT(麻省理工)首先开发出来,并从Windows 2000开始引入。通过secured tickets(暂时未发现专业术语)的转换对客户端和服务器进行安全识别。相对于使用哈希密码,Kerberos通过共享安全加密密钥来管理身份验证。客户端和验证服务器共享一个对称密钥,。其中验证服务器成为KDC(Key Distributor Center,密钥分发中心),并且作为域控制器的服务运行。

在登录时,客户端会从KDC中请求一个Ticket Grant Ticket (TGT) ,然后KDC创建一个包含客户端标识的TGT,并连同把带有密钥的会话返回给客户端。TGT的寿命不长,通常只有8~10小时。过时之后,客户端不能在访问资源。

服务标签(Service ticket)必须包含目标资源(如SQL Server实例)的Service Principal Name(SPN,服务主体名称)。当KDC接收到请求,会回送服务标签。这个标签会在后续用于客户端请求访问服务器之用。更多信息可以访问:http://technet.microsoft.com/en-us/library/cc772815.aspx

 

实现:

 

使用Kerberos,需要在域环境中,并且服务器的SPN必须已经注册到Active Directory。如果满足这些条件,那么Kerberos应该默认已经使用,可以在SQL Server中检查:

SELECT auth_scheme, net_transport, client_net_address FROM sys.dm_exec_connections;


image

如果连接是来自同一个域或者使用NTLM授权的可信任域,需要研究为什么没有使用Kerberos。当SQL Server启动时,会尝试自动注册自己的SPN到Active Directory中,如果SQL Server服务帐号没有权限,那么SPN就不能创建,并且Kerberos授权也将不能使用。

检查SPN是否已经注册,可以在cmd或者PowerShell中输入下面的命令:

setspn.exe -L DOMAIN\<SQL service Account>


本人环境下如图:

image

应该要看到其中一个信息:

MSSQLSvc/SQL-A.Contoso.com:1433  --格式为:MSSQLSvc/<SQL Server机器名>.<域名>.com:<端口号>

检查上图可见没有这个信息,证明没有成功,所以再上一个图的结果周鞥只有NTLM授权。通常是因为这个帐号没有"write public information"  权限。默认情况下,SQL Server服务帐号如果是一个域用户安装的,将没有这个权限。

现在把SQL Server服务帐号换成域管理员,再次检查可见已经得到期待结果了:

image

 

如果发现没有注册SPN,可以使用下面步骤实现:

1. 在域控制器的【管理工具】中,选择【ADSI 编辑器】:

image

 

2.连接到【默认命名上下文】,查找服务帐号并且右键【属性】,然后选择【安全】页:

image 

3. 对SELF授予【写入 公共 信息】,并重启SQL Server服务:

image

注意,本机是用contoso\mirroradmin安装和运行的,所以这里选择这个帐号授权。授权完毕之后,再次查询,可以见到已经有Kerberos连进了了。

image

 

原理:

 

SPN是实例的唯一标识,没有合适的SPN,Kerberos不能验证一个服务并提供服务标签来允许客户端访问。所以如果没有SPN,客户端唯一能用的验证方式是NTLM,而SPN必须安装在活动目录,并且有KDC角色。

SPN的固定格式:<service>/<host>:<port/name>。其中host是完全合格域名(Fully Qualified Domain Name  ,FQDN)。


 

更多信息:

 

如果不想授予【写入公共信息】到AD上,或者某些原因SPN不能注册,可以手动执行下面语句创建:

setspn.exe -A MSSQLSvc/SQL-A.Contoso.com:<port> Contoso\SQL-A  --其中SQL-A是机器名,contoso是域名


 

对于Kerberos问题侦测可以阅读下面文章:

http://blogs.technet.com/b/askds/archive/2008/05/14/troubleshooting-kerberos-authentication-problems-name-resolution-issues.aspx


下一篇:http://blog.csdn.net/dba_huangzj/article/details/38368737

發糞塗牆
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Network Programming with Go: Essential Skills for Using and Securing Networks
05-15
Jan Newmarch, "Network Programming with Go: Essential Skills for Using and Securing Networks" English | ISBN: 1484226917 | 2017 | 274 pages | PDF | 2 MB Dive into key topics in network architecture and Go, such as data serialization, application level protocols, character sets and encodings. This book covers network architecture and gives an overview of the Go language as a primer, covering the latest Go release. Beyond the fundamentals, Network Programming with Go covers key networking and security issues such as HTTP and HTTPS, templates, remote procedure call (RPC), web sockets including HTML5 web sockets, and more. Additionally, author Jan Newmarch guides you in building and connecting to a complete web server based on Go. This book can serve as both as an essential learning guide and reference on Go networking. What You Will Learn Master network programming with Go Carry out data serialization Use application-level protocols Manage character sets and encodings Deal with HTTP(S) Build a complete Go-based web server Work with RPC, web sockets, and more Who This Book Is For Experienced Go programmers and other programmers with some experience with the Go language.
Securing your Online Data Transfer with SSL
08-27
Securing your Online Data Transfer with SSL
exchange 使用kerberos 身份验证连接失败
weixin_34217773的博客
08-19 2160
因其它服务器版本为SP3、升级相同版本后问题解决 转载于:https://blog.51cto.com/lishengxian/1840460
Syngress - Securing Exchange Server and Outlook Web Access.pdf
08-10
Syngress - Securing Exchange Server and Outlook Web Access.pdf
Server 2008 電子書\Securing Windows Server 2008 Prevent Attacks from Outside and Inside Your Organization
09-09
Server 2008 電子書\Securing Windows Server 2008 Prevent Attacks from Outside and Inside Your Organization
Kerberos身份认证应用示例
weixin_33796177的博客
03-23 1083
绍本地登录、登录、单身份认证、用户的工作站登录。 5.7.1 本地登录示例 用户可以使用账户或本地计算机账户登录计算机。当用户以本地计算机账户登录时,用户凭证是通过本地账户数据库进行鉴别的。因为本地计算机不能担当KDC角色,同时,本地登录不需要网络访问(如与KDC联系),所以本地身份认证是使用NTLM来验证账户的。 本地登录的身份认证过程如图5-9...
Securing SQL Server(Apress,2016)
10-28
Protect your data from attack by using SQL Server technologies to implement a defense-in-depth strategy, performing threat analysis, and encrypting sensitive data as a last line of defense against ...
mern-stack-authentication:使用Passport.js身份验证来保护MERN Stack CRUD Web应用程序
02-04
使用Passport保护MERN Stack Web应用程序 此源代码是教程一部分。 要运行此源代码: 克隆此仓库 运行MongoDB服务器 运行npm npm run-script build 运行npm start
渗透-Kerberoasting服务票据爆破
yy
03-28 2600
Kerberoast攻击,就是攻击者为了获取目标服务的访问权限,而设法破解Kerberos服务票据并重写它们的过程。这是红队当非常常见的一种攻击手法,因为它不需要服务目标服务进行任何交互,并且可以使用合法的活动目录访问来请求和导出可以离线破解的服务票据,以获取到最终的明文密码。之所以出现这种情况,是因为服务票据使用服务帐户的散列(NTLM)进行加密,所以任何用户都可以从服务转储散列,而无需将shell引入运行该服务的系统
443 Chapter4.Designing Database Server Security Policies
weixin_34279184的博客
01-08 90
Designing Database Server Security PoliciesLesson 1:  Enforcing SQL Server Security through Group Policy1. What is Group Policy(1) Group policy is a framework that administrators use to control the co...
内网安全:Kerberoasting攻击和SPN服务
god_Zeo的安全博客
05-27 1883
0x01 SPN SPN(ServicePrincipal Names)服务主体名称,是服务实例(比如:HTTP、SMB、MySQL服务)的唯一标识符。 SPN是服务器上所运行服务的唯一标识,每个使用Kerberos服务需要一个SPN Kerberos认证过程使用SPN将服务实例服务登录账户相关联,如果使用 Kerberos 协议来认证服务,那么必须正确配置SPN。如果在整个林或的计算机上安装多个服务实例,则每个实例都必须具有自己的 SPN SPN分为两种,一种注册在AD上机器帐户(Compu
安装SSL证书之后还会有不安全提示怎么办?
最新发布
JoySSL230907的博客
04-20 729
在这里,你可以申请到免费单名证书、免费多名证书以及免费通配符证书。在这里,你可以申请到免费单名证书、免费多名证书以及免费通配符证书。- 证书链完整性:确保您不仅安装了主证书,还包含了所有必要的间证书。缺少间证书可能导致浏览器认为证书不可信。- 清除浏览器缓存:浏览器可能缓存了旧的或错误的证书信息,清除缓存有助于加载新安装的证书。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。
20232831袁思承2023-2024-2 《网络攻防实践》第6次作业
qq_53198713的博客
04-19 758
网络攻防~
从智能家居到智能城市:物联网的隐私和安全风险
网络安全服务提供商
04-19 622
由于隐私和安全这些问题,已经变得与物联网相关的设备不同的程度上挂钩。例如,黑客可能通过使用物联网设备拦截人们的传输数据来获取身份信息和敏感的个人信息,或利用智能交通系统的漏洞,让整个城市的交通陷入混乱。由于没有标准,就模糊了设备和系统的安全和隐私标准,限制了智能家居和智能城市的持续发展。其次,我们需要建立更多的标准和规范来规范物联网的发展,从而进一步提高物联网设备和技术的安全性和互操作性。通过不断更新技术,加强安全和隐私的保护,我们可以享受到物联网设备和技术带来的便利性,从而更好地掌控我们的生活。
Trivy离线扫描:容器安全实践指南
飞翔沫沫情博客
04-19 899
使用 fanal 漏洞库,快速查询操作系统版本信息trivy 会提取目标镜像的 ImageID,并根据目标镜像记录的生成关系,计算出其基础镜像的 ImageID。然后,在 fanal.db保存的 ImageID 进行查询。如果命,就可以快速确基础镜像对应的操作系统、版本信息等信息。解析基础镜像的系统文件,获得操作系统版本信息。
亚马逊账号安全:如何避免被关联和封禁?
Tiger_Bella的博客
04-16 1063
无论是在亚马逊、eBay、Wish、速卖通、沃尔玛、美客多、独立站、阿里国际、Lazada、Shopee还是Mercari等平台,通过自养号测评来获取评论和销量,是最节约成本、也是最有效的方式之一。实际上,最重要的是要了解平台风控的关键点,是硬件参数的关联、IP的纯净度问题,还是指纹插件或者cookie的关联,又或者是支付卡被风控。亚马逊内部设有卖家举报功能。2. IP地址的纯净度问题:采用高质量的IP地址服务,避免使用被大量其他用户共享的IP,可以考虑使用一些专业的IP服务提供商,确保IP的干净程度。
Flask的JWT认证构建安全的用户身份验证系统
一见已难忘的博客
04-20 2090
JWT是一种基于JSON的开放标准(RFC 7519),用于在网络应用程序之间传输信息。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。。头部(Header):包含了JWT的类型(例如,JWT)和使用的加密算法(例如,HMAC SHA256或RSA)。载荷(Payload):包含了声明,例如用户ID和角色。它也可以包含其他自定义的声明。签名(Signature):用于验证JWT的完整性,以确保未被篡改。
浏览器工作原理与实践--安全沙箱:页面和系统之间的隔离墙
echohuangshihuxue的博客
04-17 1021
好了,今天的内容就介绍到这里,下面我来总结下本文的主要内容。首先我们分析了单进程浏览器在系统安全方面的不足,如果浏览器存在漏洞,那么黑客就有机会通过页面对系统发起攻击。因此在设计现代浏览器的体系架构时,就考虑到这个问题了。于是,在多进程的基础之上引入了安全沙箱,有了安全沙箱,就可以将操作系统和渲染进程进行隔离,这样即便渲染进程由于漏洞被攻击,也不会影响到操作系统的。
翻译 SSLfTLS Connection Detected PGP has detected a connection from your email cliento your mail server using the sSL[TLs security protocol. In order for PGP to secure your email, itmust provide this security itself. Please disable SSL/TLS in your email client so thatPGP can secure your email as well as securing theconnection via SSLITLS if possible. Ignore SSL/TLS communication with 183.47.10i.192 Note: you may need to restart your email client
06-03
SSL/TLS连接检测到 PGP 检测到您的电子邮件客户端与邮件服务器之间的连接使用 SSL/TLS 安全协议。为了让 PGP 安全地保护您的电子邮件,它必须提供自己的安全性。请在您的电子邮件客户端禁用 SSL/TLS,以便 PGP ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值