Информационное письмо



бет27/78
Дата10.10.2022
өлшемі5,22 Mb.
#42177
түріПротокол
1   ...   23   24   25   26   27   28   29   30   ...   78
Байланысты:
ИБ и МЗИ УМКД 2022 (1)

Протокол NTLM v2.
Схема работы протокола NTLMv2 с контроллером домена

  1. Клиент при обращении к серверу сообщает ему имя пользователя и имя домена

  2. Сервер передает ему случайное число - запрос сервера

  3. Клиент генерирует также случайное число, куда, кроме прочего, добавляется метка времени, которое называется запрос клиента

  4. Запрос сервера объединяется с запросом клиента и от этой последовательности вычисляется HMAC-MD5 хэш

  5. От данного хэша берется еще один HMAC-MD5 хэш, ключом в котором выступает NT-хэш пароля пользователя. Получившийся результат называется NTLMv2-ответом и вместе с запросом клиента пересылается серверу

  6. Сервер, получив NTLMv2-ответ и запрос клиента, объединяет последний с запросом сервера и также вычисляет HMAC-MD5 хэш, затем передает его вместе с ответом контроллеру домена (КД)

  7. КД извлекает из хранилища сохраненный хэш пароля пользователя и производит вычисления над HMAC-MD5 хешем запросов сервера и клиента, сравнивая получившийся результат с переданным ему NTLMv2-ответом

  8. В случае совпадения серверу возвращается ответ об успешной аутентификации.






Рис. 2. Схема работы протокола NTLMv2 с контроллером домена


Протокол аутентификации Kerberos
Протокол Kerberos был специально разработан для обеспечения надежной аутентификации пользователей. Он может использовать централизованное хранение аутентификационных данных и является основой для построения механизмов Single Sign-On (возможность одноразовой аутентификации в нескольких приложениях). Протокол Kerberos предлагает механизм взаимной аутентификации клиента и сервера перед установлением связи между ними с учетом того, что начальный обмен информацией между клиентом и сервером может происходить в незащищённой среде, а передаваемые пакеты - перехвачены и модифицированы.
Протокол использует понятие Ticket (билет, удостоверение).
Ticket является зашифрованным пакетом данных, выданным выделенным доверенным центром аутентификации, в терминах протокола Kerberos - KDC (Key Distribution Center, центр распределения ключей).


Достарыңызбен бөлісу:
1   ...   23   24   25   26   27   28   29   30   ...   78




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет