1.RBCD简介
本篇文章是在基于资源的约束委派的基础上的一个利用,篇幅会比较短,但个人认为利用面还是挺广泛的。于是就写一下。
首先,需要了解的是RBCD的基础知识:
简单回顾一下:
基于资源的约束委派(RBCD) 只支持2012及2012以上,它与 非约束委派, 约束委派
有个一个很大的区别,就是不需要管理员去单独配置。RBCD把设置的权限给了计算机本身,那么,既计算机本身可以决定‘我’可以委派谁来控制我,换句话说就是计算机自身可以直接在自己账户上配置msDS-
AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。
2.S4U2Self和S4U2Proxy
既然是RBCD,就一定绕不开两个协议,S4U2Self和S4U2Proxy,这两个协议的作用,主要是解决计算机以自己身份申请票据已达到完成认证的目的。
2.1.S4U2Self
-
S4U2Self
通过此扩展可以拿到一张标识任意用户身份的ST,使用S4U2Self的原因,是因为,如果用户非Kerberos协议登录网站,那么就涉及到协议转换的问题,因此需要使用S4USelf。如果用户是使用Kerberos协议进行认证并登录该服务器的,那么,在该服务器上会有该用户的ST,就不需要使用S4USelf去申请ST,直接使用该的ST。这个协议的本质,其实是解决协议转换问题。当该用户user使用非Kerberos协议请求Server
A的时候,Server A是没有user用户的ST的,但是Server A要去获取Server
B的访问权限需要user用户的ST,因此S4U2Self解决了这个问题,Server A服务器可以使用它去向KDC请求一张user身份的ST,Server
A服务器再用这张ST去发起S4U2proxy请求。 -
S4U2proxy
该拓展作用是使用一张user用户身份的ST去向KDC请