域委派
- 域委派是大型网络中经常部署的应用模式,给多跳认证带来很大的便利,同时也带来很大的安全隐患,利用委派可获取域管理员权限,甚至制作深度隐藏的后门
- 域委派是指,将域内用户的权限委派给服务账号,使得服务账号能以用户权限开展域内活动。
- 服务账号(Service Account):域内用户的一种类型,服务器运行服务时所用的账号,将服务运行起来并加入域。例如MS SQL Server在安装时,会在域内自动注册服务账号Sql Service Account,这类账号不能用于交互式登录。
一个域内普通用户Jack通过Kerberos协议认证到前台Web服务后,前台运行Web服务的服务账号WebSvc模拟用户Jack,以Kerberos协议继续认证到后台服务器,从而在后台服务器中获取Jack用户的访问权限,即域中双跳或者多跳的Kerberos认证。如,SSO,完成一次认证,可以访问多跳服务,是通过委派来实现的。只要有SSO,就会有域委派。
- 域内用户Jack以Kerberos方式认证后访问Web服务器
- Web服务器以WebSvc服务账号运行,WebSvc向KDC发起Jack用户的票据申请
- KDC检查WebSvc用户的委派属性,如果被设置,则返回Jack用户的可转发票据TGT
- WebSvc收到Jack用户TGT后,使用该票据向KDC申请访问文件服务器