思路一:
在Windows用戶端與Windows伺服器的kerberos認證過程中,通過第二階段用戶端向KDC(密鑰配置設定中心)的TGS資料互動,用戶端擷取到了可以與服務端會話的Service_key和Ticket。
問題一:
如果伺服器端KDC用開源的Samba實作(前提Samba内實作了MIT的kerberos協定),是不是我們就能讀取到Service_key了呢?
思路二:
Windows伺服器(假定Windows server2008R2, IP位址:192.168.0.76)充當Exchange2010伺服器, Windows用戶端(假定Windows 7, IP位址:192.168.0.176) 充當Exchange2010用戶端。
用戶端會176向伺服器76發起請求認證的時候,我們可以設定僅kerberos認證。此時會有資料包的互動,用戶端176向伺服器76的KDC(密鑰管理中心)的AS(認證伺服器)擷取票據Ticket後,再向伺服器76端的KDC的TGS(票據授權伺服器)擷取可以向伺服器76認證的Service_key及票據Ticket。
此時,伺服器76端的系統Windows Server2008R2是包含KDC的。因為Server2008R2内還含有主域控制器(PDC),我們知道Linux作業系統,比如Redhat,Centos是包含開源Samba軟體的,或者我們可以安裝新的版本,如Samba4.0.1x。而查資料可以,Samba是可以充當PDC的,且samba內建KDC的功能。資料源頭(Redhat官網):
https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/4/html。
問題二:
用Samba作為中間DC(域名控制器),能否同步過來Server端認證用戶端時的Service_key和票據Ticket資訊,如果可行的話,大緻的接口是什麼?
進展:已經知道Samba-tool(samba内含工具)從Red-hat端實作擷取到了伺服器端的使用者名資訊,但是至于密鑰的擷取還有一段路要走。且samba-tool以DC加入域的概念也不好了解。
困難點如下:
困難一:
Samba的配置相對複雜,和我設定相關的配置需要謹慎查詢資料,稍有不慎,會導緻各種問題,易愈陷愈深;
困難二:
Windows域的概念複雜,如DC的功能。Redhat官網指出,Windows充當PDC時,Samba不能充當BDC(備份域控制器);同時Samba充當PDC時,Windows不能充當BDC。但思路二,想從同步角度思考,又避免不了DC之間的同步。
困難三:
Kerberos認證體系複雜,需要反複閱讀Kerberos官網協定文檔才能了解其精髓。
困難四:
思路一、二的目的是一樣的,但結果的擷取需要結合Windows域體系、Samba體系、Kerberos認證體系,三者結合交叉的概念也需要廣查資料思考。
已經通過國外幾個專業論壇、Samba官網求救,無奈時間緊迫,需要緊急讨論出思路的可行性,特懸賞求助!
或者您有沒有其他擷取Service_key及Ticket的思路,萬分感謝與您的寶貴思路和建議!
作者:銘毅天下
轉載請标明出處,原文位址:
http://blog.csdn.net/laoyang360/article/details/14539755![Mac|Windows系統本地照片自動上傳到伺服器[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)