以下是我对Kerberos委派的理解:
1] 不受限制的委托(W2000):Windows 2000允许授权用户转发TGT:他要求提供可转发的TGT(身份验证服务),然后可以要求转发的TGT(票务授予)服务)。他可能只是将此TGT(带有会话密钥)转发到服务(krb_cred消息)。然后,该服务可以代表用户请求任何服务的票务服务,并可以依次将带有用户会话密钥的TGT转发给任何其他服务[可替代/代理票证超出范围,因为由于以下原因它似乎未被使用:所需的先决条件],
2] 受限制的授权(自W2003起):IT管理员可以将AD(SPN)中的服务配置为有权代表用户请求票证服务以获取一组服务(SPN):“允许委托给”(A2D2)参数。此外,新的扩展(S4U2Proxy)允许服务代表其他服务请求用户的票务服务,因为它能够代表用户本身提供有效且可转发的票证(因此,这意味着存在不再需要从用户及其关联的会话密钥中获取TGT)。为了获得本身的可转发票证,该服务应标记为“授权委托授权”(T2A4D),
3] 协议过渡(S4U2self)(自W2003起):服务可以代表用户向KDC要求提供票务服务(本身),而无需向KDC显示任何表明用户已通过Kerberos认证。这可以通过在AD中SPN的配置中启用标志“使用任何协议”来完成。然后,如果为此服务设置了适当的标志(T2A4D和A2D2),则可以使用约束委派,
4] 受约束的委派跨域(自W2012起):
¤在以前无法使用委派跨域的情况下(因为不可能在SPN的当前域之外设置SPN),现在可以在目标服务而非源服务上配置授权(从概念上讲) ,则更合逻辑)。
¤特定的SID($$)可以在目标服务上配置为在KDC未明确认证用户时授权或不授权(这意味着服务在使用其协议转换功能来获取票证时)。本身):为了使其正常工作,这意味着(我想)是授予目标服务的源服务的票务服务包含此信息,
我不清楚的是什么
1)在阅读了MS文章之后,我了解到转发的TGT不能用于进行约束委派,尽管TGT中显然有“转发”标志。实际上,与使用自己的TGT和票证服务的服务相比,这是完全不同的,因为使用用户的TGT,该服务被认证为请求服务票证的用户。使用票证请求的“地址字段”(包含请求者的iP / DNS地址)有什么意义(当然可以修改)?使用转发的TGT时是否有任何参数拒绝票证请求?为什么不使用地址字段(客户端)检查相关权限?是因为它不可靠(地址可能被欺骗)还是因为它不够精确,无法识别SPN?
2)向我介绍SID($$)意味着可转发服务票证确实包含特定信息,说该票证是通过S42Uself扩展获得的,或者是由用户直接获得的。但我不知道那是什么,
3)如果转发的TGT意味着不能限制委派,则似乎已“弃用”。因此,当我使用klist(公司环境中的Windows 10计算机,用于两个不同的公司)显示我的缓存票证时,为什么我为什么不存在一个可转发和一个转发的TGT(以便进行委派)。是推荐的常规做法还是我会错过某些东西?
非常感谢您的反馈! 祝你有美好的一天。
蜘蛛。