网站识别Windows AD 域账号,并自动登录

最新推荐文章于 2023-04-05 16:43:39 发布
最新推荐文章于 2023-04-05 16:43:39 发布
阅读量1.2w 收藏 10
点赞数 3
分类专栏: WIN32 文章标签: Windows AD mod_auth_kerb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vn700/article/details/88658706
版权

KDC (windows 2008): 10.0.2.12 (也就是域服务器)

Workstation (windows 10): 10.0.2.100(也就是公司域内电脑)

Webserver (CentOS release 6.5 (Final), apache2.4): 10.0.2.15 webserver.example.com 

1、配置Webserver,在 10.0.2.15 上 安装krb5-libs,krb5-workstation, apache , mod_auth_kerb(apache的kerberos module),        yum install -y krb5-libs krb5-workstation mod_auth_kerb

2、首先将Workstation的DNS指向域服务器,在公司DNS服务器上新建A记录(webserver.example.com)指向10.0.2.15

3、确保kdc,Webserver,workstation的时间是一致的,kerberos要求时差不能超过5分钟

4、配置Webserver的/etc/krb5.conf

includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
 default_realm = EXAMPLE.COM //域
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 SPEECHOCEAN.COM = {
  kdc = 10.0.2.12:88 //KDC默认端口
  admin_server = 10.0.2.12:749
 }

[domain_realm]
# .example.com = EXAMPLE.COM
webserver.example.com = EXAMPLE.COM //此处域名要与webserver一致

5、测试kerb配置是否成功 

[root@localhost ~]# kinit client2@EXAMPLE.COM
Password for client2@EXAMPLE.COM
[root@localhost ~]# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: client2@EXAMPLE.COM

Valid starting       Expires              Service principal
03/19/2019 12:00:00  03/19/2019 22:00:00  krbtgt/EXAMPLE.COM@EXAMPLE.COM
        renew until 03/26/2019 11:59:44

6、在AD上为webserver创建principal

     登录域服务器,执行:

ktpass -princ HTTP/webserver.example.com@EXAMPLE.COM -mapuser client2 -pass xxxxx -out D:\web.keytab

    将生成的web.keytab文件放置到Webserver上,比如/etc/web.keytab,并设置只读权限

   

chown apache:apche /etc/web.keytab
chmod 400 /etc/web.keytab

   验证AD发送的tickets是否正确

[root@localhost ~]# kvno HTTP/webserver.example.com@EXAMPLE.COM
HTTP/webserver.example.com@EXAMPLE.COM: kvno = 4
[root@localhost ~]# klist -e
Ticket cache: KEYRING:persistent:0:0
Default principal: client2@EXAMPLE.COM

Valid starting       Expires              Service principal
03/19/2019 12:09:23  03/19/2019 22:00:00  HTTP/webserver.example.com@EXAMPLE.COM
        renew until 03/26/2019 11:59:44, Etype (skey, tkt): arcfour-hmac, arcfour-hmac
03/19/2019 12:00:00  03/19/2019 22:00:00  krbtgt/EXAMPLE.COM@EXAMPLE.COM
        renew until 03/26/2019 11:59:44, Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96

[root@localhost ~]# klist -e -k -t /etc/web.keytab
Keytab name: FILE:/etc/web.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   4 01/01/1970 08:00:00 HTTP/webserver.example.com@EXAMPLE.COM (arcfour-hmac)

7、配置apache的mod_auth_kerb

    我是用yum安装的mod_auth_kerb,在/etc/httpd/conf.modules.d/10-auth_kerb.conf会有配置文件

    需要注意的是,如果有其他的apache权限配置,比如/etc/httpd/conf/httpd.conf里面有Require all denied或者Require all granted,需要注释掉!!否则apache不会开启mod_auth_kerb的验证。可以通过修改LogLevel 值为debug,来调试看下mod_auth_kerb是否运行。

LoadModule auth_kerb_module modules/mod_auth_kerb.so
<Directory />
 AuthType Kerberos
 AuthName "Windows AD Account"
 KrbMethodNegotiate On
 KrbMethodK5Passwd Off
 KrbAuthRealms EXAMPLE.COM
 Krb5KeyTab /etc/web.keytab
 require valid-user
</Directory>

8、如果配置没问题,这个时候使用登录了域的电脑访问webserver.example.com ,会提示登录框,输入正确的域账号可以访问网站。如果想要免去输入密码需要在域服务器设置组策略。具体可以参见这篇文http://www.cnblogs.com/love007/p/4082875.html,目前可以支持ie和chrome两种浏览器自动登录,firefox好像不支持。edge经测试需要windows2016做域服务器才可以支持。

9、如何获取当前域用户?PHP可以使用$_SERVER变量获取

<?php
echo $_SERVER['REMOTE_USER']
?>

10、参考文章

http://blog.chinaunix.net/uid-11618445-id-3347394.html

CodeBus
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
AD-限制windows用户多点并发登录.docx
09-30
AD-限制windows用户多点并发登录是指在Active Directory中限制用户多点并发登录,以防止用户账号被盗用和不安全登录。通过创建GPO和脚本,可以实现用户登录限制,提高安全性。 描述解释 限制Windows用户...
html浏览器获取账号密码,Firefox/chrome等FTP内权限限制不严 可通过XSS遍历网站目录并获取源码...
weixin_28756021的博客
06-09 605
2013-06-01 15:20浏览器在FTP内的CSRF问题,虽然遵守了同源策略,但不代表解决了所有问题。“可通过XSS遍历网站目录并获取源码”的环境要求有些苛刻,理论意义大于实际意义。详细说明:只在IE9、firefox、chrome上做了测试,除IE之外,其他都同通过。首先明确一点,浏览器在任意协议下,不论是http(s)、File还是FTP、UNC、MHTML、Jar协议,遇到html扩...
java 用户登陆_AD账户自动登陆(仅限IE浏览器)Java简单实现
weixin_42498909的博客
02-13 1356
实现流程:同步账户用户名至项目数据库-》若是IE浏览器则通过ActiveXObject获取PC用户名-》根据用户名查询数据库-》存在则自动登陆步骤1:通过定时任务同步AD账户用户名,代码如下package com.honsto.edusys.job;import java.util.Date;import java.util.Hashtable;import javax.naming.Auth...
通过组策略实现IE自动以当前账号登录某站点
weixin_34341229的博客
11-21 560
SharePoint基于windows验证的如何通过组策略实现IE自动以当前账号登录某站点 1. 在运行中运行MMC,启动“组策略对象编辑器”。 如下图: 2.找到组策略,如下图: 3.找到对应的,如下图: 4.点右键编辑: 5.在【计算机配置】-【管理模板】-【windows组件】-【Internet Explorer】-Internet控制面板-安全页中。然后...
AD里映射共享文件夹,使得每一个登录AD用户都能直接出现,并且分别有不同的文件夹查看权限。
NeverGUM的博客
05-21 1万+
AD共享文件夹: 在服务器的一个空盘上创建共享文件夹,然后点击共享,然后在“安全”高级”里面取消继承权限。 假设A文件是公司总共享文件夹,员工都可以访问,权限是Everyone, b部门的文件夹也取消继承,并且在它的权限上删除everyone,同时添加B部门的成员或者组。 c部门同理,取消继承,并且在它的权限上删除everyone,同时添加c部门的成员或者组。 这样设置权限后,就会出现...
AD控组策略管理谷歌浏览器
strer的博客
03-23 4411
ADMX与控进行统一部署GOOGLE
windows AD登录
01-03
本文将深入探讨“Windows AD登录”的相关知识点,帮助读者理解其原理、功能以及实际操作。 一、AD的概念 Active DirectoryWindows网络环境中的一个基本单位,它是一个安全边界,存储和管理用户账户、计算机...
windows AD对象误删恢复工具ADRecycleBin
最新发布
12-20
为了解决这一问题,"ADRecycleBin"是一款专为Windows AD设计的对象误删恢复工具。 ADRecycleBin的主要功能是恢复被错误删除的AD对象,如用户、用户组、计算机账户等。这款工具提供了一个直观的图形用户界面...
验证AD账号登陆,获取AD用户列表,获取用户邮箱
07-27
验证AD账号登陆,获取AD用户列表,获取用户邮箱,修改密码等AD操作
Windows2012 AD控制器安装教程
09-19
Windows 2012 AD 控制器安装教程 以下是 Windows 2012 AD 控制器安装教程中所涉及的知识点: 1. 控制器概念:控制器是一台安装了活动目录的计算机,管理员可以控制每个用户的行为。控制器是活动目录...
WEB开发使用AD用户名和密码登录
热门推荐
easyboot的专栏
02-21 1万+
jquery代码     function CheckADUser() {         var domain = "yhglobal.com"         var userName = "linyh"         var pwd = "123456"         $.post("/Order/CheckADUser", { domain: domain, user
web 项目 获取客户端 账户
live801的博客
03-06 874
package com; import java.io.IOException; import java.net.InetAddress; import java.util.Enumeration; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.h...
渗透基础——获得用户的登录信息
2301_77157449的博客
04-05 793
渗透中,获得了控制器权限后,需要获得用户的登录信息,包括用户登录的IP地址和登录时间。通常使用的方法是查看控制器的登录日志(Eventid=4624)。然而,人工从登录日志(Eventid=4624)中筛选出用户登录的IP地址和登录时间需要耗费大量时间,不仅无效数据多,而且需要多次判断,所以我们需要编写程序来实现这个功能。在实际使用过程中,为了能够适配多种环境,还需要支持本地和多种协议的远程登录。于是本文将要分享我的实现方法,开源两个工具,记录细节。
web获取当前计算机信息,【渗透】获取环境内用户登录信息
weixin_35582180的博客
07-26 1170
之前见到有人在讨论内用户在内的机器ip怎么查呢,集思广益,结合答复及自己的观点,总结了以下内容。0x00 adfind有时候管理员会设置用户只可以登录指定的的内计算机,使用 adfind或者 powerview导出用户信息可以查看;12345678查看内用户详细信息:adfind.exe -h DNS_SERVER_IP -sc u:rcoil(目标用户)adfind.exe -h D...
AD用户认证登录(包含SSL)-UnboundID LDAP SDK方式
Apollo
02-14 3756
目录前言普通登录SSL登录 且 筛选获取某用户组下用户 前言 这篇比较精华,亲身踩坑两天完成,利用UnboundID LDAP SDK完成对AD用户进行普通登录和ssl登录场景实现,挺实用来着。 普通登录 package com.example.demo.controller; import com.unboundid.ldap.sdk.LDAPConnection; import com.unboundid.ldap.sdk.LDAPException; import lombok.extern.s.
HTTP协议详解
qq_56289291的博客
08-05 1174
是一种通信协议,它允许将超文本标记语言(HTML)文档从Web服务器传送到客户端的浏览器。HTTP是基于TCP处于的一种协议,与传输层协议不同,它关注的不是像TCP那样的可靠传输,而是站在应用的角度,对传输的信息来具体的使用。HTTP广泛应用于手机APP和浏览器之中。...
windows服务器IIS获取客户端账号
moondd的博客
07-23 874
SSO相关技术方案
设置谷歌浏览器,实现跨获取数据
piaocanY的博客
07-21 520
因为之前用的都是很常见的 解决跨的办法 1:后台设置 header 2:前台设置代理 但是这次新搭建的项目,说的是google设置跨后联调,到时候配置里面要改下环境地址去实现跨。 没接触过这种,就上网查了一下, 通过cmd去设置,把我这边的设置方法罗列一下,能帮到有需要的人,之后自己也能方便查看 没设置之前为这样: 1:首先找到谷歌的属性,文件所在位置复制 2:win+r进入 cmd窗口, cd进入你的文件所在路径 3:随后后面拼上chorm.exe 如后面的一串 chrome.exe --di
springsecurity集成AD账号登录
07-27
要将Spring Security与AD账号集成,可以按照以下步骤进行操作: 1. 添加所需的依赖:在项目的pom.xml文件中添加Spring Security和LDAP相关的依赖。例如: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-ldap</artifactId> </dependency> ``` 2. 配置LDAP连接:在application.properties(或application.yml)文件中配置LDAP连接信息。例如: ```properties spring.ldap.urls=ldap://your-ad-server-url spring.ldap.username=your-ldap-username spring.ldap.password=your-ldap-password ***

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值