Когда я вхожу на машину-член Windows, как она аутентифицирует меня?
Когда я вхожу на сервер-член Windows в домене Windows AD, использует ли он LDAP или Kerberos для аутентификации?
У меня всегда было впечатление, что это делается с помощью LDAP, но интересно, действительно ли это Kerberos. Является ли трафик по умолчанию зашифрованным?
AD использует и Kerberos, и LDAP.
https://technet.microsoft.com/en-us/library/2005.01.activedirectory.aspx
Я собираюсь сварить это упрощенно, так как это кажется, нужно начинать с самого начала. Kerberos - это протокол аутентификации (и авторизации) по умолчанию, используемый Active Каталог, хотя он классически считается аутентификацией только протокол. Kerberos не зависит от платформы и был изобретен в Массачусетский технологический институт (MIT) и Microsoft позже приняли его в Windows 2000 Active Каталог для предоставления вам доступа к системе единого входа (что означает, что только вы введите свой пароль один раз при первом входе в систему) для последующих сетевых ресурсов в вашей сети и больше не буду бросать вам вызов имя пользователя и пароль. Kerberos задействован почти во всем, с момента первого входа в систему для доступа к компьютеру до доступа общий ресурс SYSVOL на контроллерах домена, раздавая то, что известно как билеты, которые зашифрованы. Kerberos в значительной степени заменил NTLM, старая и оригинальная (с Windows NT) аутентификация Microsoft протокол. LDAP также является протоколом аутентификации и авторизации, а также методологию организации таких объектов, как пользователи, компьютеры, и организационные подразделения в каталоге, например Active Directory. По сути, это список того, что вы видите, когда открываете Консоль «Пользователи и компьютеры Active Directory». Kerberos более безопасен чем LDAP, и они часто используются вместе. Например, когда вы откройте консоль пользователей и компьютеров Active Directory, ваш компьютер сначала получает билет для доступа к вашему контроллеру домена и затем использует LDAP для фактического использования самой консоли при работе с объекты, такие как пользователи или OU. Kerberos и LDAP позволяют запускать гетерогенная сеть Windows, Linux, UNIX и даже Apple Mac клиенты в сети Microsoft Active Directory.
И да, это зашифрованный OOB.
Kerberos используется для аутентификации , LDAP для авторизации
Kerberos хранит только логины и пароли (и множество параметров, указывающих, можно ли пересылать билеты Kerberos и т. Д.), И это все.
как только Kerberos аутентифицирует вас, ваши разрешения (членство в группах и т. Д.) .)управляются в каталоге LDAP.