AD认证主要用到两种协议:Kerberos 和 NTLM
NTLM
认证过程如下:
-
client本地生成NTLM hash,值为用户密码的hash值。
-
client发送用户名给应用服务器。
-
应用服务器随机生成一个值给client,这个值通常叫nonce或challenge。
-
client用NTLM hash对nonce进行加密,并发送给应用服务器。
-
应用服务器收到后,连同用户名和nonce一并发送给AD服务器。
-
AD根据该用户的密码生成NTLM hash,并对nonce进行加密,然后对client发送的进行比对。
-
若值相同,则通过认证,若不同,则认证失败。
Kerberos
关键名词:
-
KDC:Key Distribution Center,密钥发行中心,提供两个服务:身份验证服务(Authentication Service 简称AS)和Ticket-Granting Service(TGS)。域会为KDC生成名为