Domain pc boot sequence - טכנולוגיית מידע - IT - HWzone פורומים
עבור לתוכן
  • צור חשבון

Domain pc boot sequence


alex.turovsky

Recommended Posts

What happens "behind the scenes" in a that's connected to a domain?

From BOOT through Log On and to Windows' programs loading

מה למעשה קורה מאחורי הקלעים. איזה תהליך ניגש למי, מי מדבר עם ה-DC לאימות המשתמש, איך KERBERUS שייך לזה וכדומה.

פירוט מוגזם יתקבל בברכה.

קישור לתוכן
שתף באתרים אחרים

מה זאת אומרת? הBOOT של DC הוא רגיל. בסרבר 2003 לפחות (לא רוצה לדבר ענל אחרים כי לא עבדתי איתם) הDC הוא מחשב לכל דבר

שפשוט הריצו עליו DCPROMO. הוא מחזיק עליו את הDATABASE של האובייקטים (וDB אחרים בהתאם לרול הנקבע לו ברמת הפורסט וכו').

כלומר יש עליו את הNTDS.DIT.

בכל מקרה יש לי בלאק אאוט מטורף לכיצד מתבצע LOGON אבל אם אנ אזכר (ידעתי) אני אגיד לך..

,

קישור לתוכן
שתף באתרים אחרים

ו...? למי איכפת במחשב לא קורה כלום... אין שום הבדל בבוט של המחשב.

בוט רגיל->הזדהות של המחשב מול הDC->הזדהות של היוזר מול הDC-> המשך בהתאם להגדרות יוזר ומחשב בדומיין-> זהו.

ובמחשב רגיל: בוט רגיל->הזדהות של היוזר (בהנחה וקיים)->המשך בהתאם להגדרות היוזר והמחשב.

קישור לתוכן
שתף באתרים אחרים

או-קי לא הבנת את הכוונה שלי...

הקרברוס זה הפרוטוקול שאחראי להעביר את המידע בין הלקוח והשרת, במקרה שלנו בעת LOGON, הקרברוס מעביר את הנתנונים לDC. כאשר הוא מזדהה מול הדומיין, הקרברוס מאמת בDC את הנתונים בהתאם למאגר מידע שלו, מאשר אותו, מיוצר את הACCSSES TOKEN ,נדמה לי שככה קוראים לכך, הקרברוס מצפין אותו ומעביר חזרה ללקוח וככה מתבצע LOGON (בקצה, של הקצה של המזלג), האקסס תוקן הוא למעשה מה שמאפשר לך להתחבר למשאבים שתחת הדומיין.

בין היתר הפרוטוקול מצפין את המידע, אחרת היה היתן ליירת בקלות את המידע, ולהשתמש בהרשאות של היוזר. וזה אגב הסיבה ללמה מייקרוסופט משתמשת בו (אגב לא בדיוק בו, אבל גרסא ממש דומה לקרברוס המקורי) ולא בכל פרוטוקול סיסמא פשוט.

אלוהים אדירים, קרברוס לא מעביר שום דבר לDC, ה-DC מכיל בתוכו 3 שרותים של קרברוס, KDC, AS וTGS שאחראים על פעולת האימות, התעבורה בין הלקוח לשרת לא מוצפנת מיסודה(כן, גם בV5, הKDC אחראי על ניהול המפתחות של הTGT בלבד, הקליינט מצפין בעצמו את הSession Key על בסיס המפתח שהוא קיבל מה-KDC בזמן ההצתרפות ל-Domain), בגלל זה משתמשים בChallenge-Response, לא המכונה ולא היוזר לא מעבירים את הסיסמאות שלהם, לא בצורה מוצפנת ולא בשום צורה שהיא לא One Way Function.

תעשה לעצמך טובה ותפתח את 4120 לפני שאתה מעקש על נושאים הרבה יותר מורכבים ממה שאתה מניח.

עכשיו בנוסף לKerberso שירות ה-Active Directory של MS תומך בעוד מספר מנגנוני אימות, NTLM, NTLMv2 וLM הם שלושה מנגנוני אימות נוספים שפועלים במקביל ל-Kerberos על מנת לאפשר למכונות ומשתמשים להזדהות ולאמת את עצמם מול ה-DC, הסיבה למה עברו לKerberos בNT5 ומעלה, היא בעיקר העובדה שהוא תומך בSSO מבסיסו עקב היותו מבוסס TGT, דבר שפותר את הצורך בדלגציה, או אימות מחדש מול כל שירות ומשאב .

קישור לתוכן
שתף באתרים אחרים

מסכים איתך כמעט על כל הדברים, אבל שאלה אחת יש לי אליך.

אם לא מועבר שום מידע באמצעות הקרברוס, כיצד עוברת ההזדהות מול הDC? מי אחראי להעביר אותה?

תעחמו ממה שנכתב

קישור לתוכן
שתף באתרים אחרים

וואי, זה כמו לדבר עם תינוק, לא רק שהטרמינולוגיה שלך לא נכונה בגרוש, צורת החשיבה שלך פשוט מראה על חוסר ידע(ותעשה לי טובה תפתח גוגל לפני התגובה הבאה).

1) הקרברוס לא מעביר שום דבר ל-DC, קרברוס זה פרוטוקול, בדיוק כמו HTTP, זה לא שהHTTP במחשב שלך מעביר דברים לאתר האינטרנט נכון?

מה שמתקשר עם ה-DC זה ה-Netlogon, שירות קטן ולא ממש חשוב שאחראי על כל המגנונים בערך ממציאת הService Records בעזרת DNS או NetBIOS עד להתקשרות עם Domain Controller ומשם לזיהוי ואימות, ועוד מספר לא קטן של פעולות בדרך.

2) אף סיסמא לא מוצפנת עם שום דבר, כל הסיסמאות לא משנה באיזה צורת אימות בין אם זה LM NTLM או Kerberos לא מוצפנות, האימת נעשה בעזרת one way functions והזיהוי ע"פ Challenge Response(הסיבה למה יש בעיה כאשר אין סנכרון השעון, כיוון שChallenge Response כאשר אין סוד משותף בינהם דורש מכנה משותף כלשהו במקרה שלנו השעה, מעבר לבעיות אחרת שאי סנכרון השעון יוצר בשלבים מתקדמים יותר כמו בלאגן עם הTime Stamp על הSession Key ושות').

3) הקרברוס לא מבצע את האימות בצד השרת, הוא בעצמו לא ניגש ל-"DC" הוא גם לא יודע מה זה Active Directory וזה לא מעניין אותו, יש המון שירותים שאחראים לזה, כולל ה-LSA המקומי של ה-DC.

4) לא מיוצר שום Access Token, מיוצר דבר שנקרא TGT - Ticket Granting Ticket שבעזרתו הלקוח יכול לאמת את זהותו מול שירותים ומשאבי רשת, כאשר כל משאב מאמת את אמינות הTicket שהוצג לו ומקצה Ticket נוסף המצביע על רמת ההרשאות של אותו לקוח באותו משאב(בין אם ברמה מקומית מול ACL מקומי - למשל מערך הרשאות של NTFS בשרת קבצים לא נבדק מול ה-DC, הוא בודק את הticket שהוצג לו מאמת את זהות הלקוח, ומקצה ticket נוסף המאפשר גישה לאותו משאב על בסיס הACL של מערכת הקבצים בלבד, מצד שני פורטל ארגוני שמאמת את המשתמשים שלו מול Active Directory(או כל מסד נתונים אחר) מריץ שאילת LDAP(או כל דבר אחר) על מנת לבדוק מה בדיוק רמת ההרשאות של אותו משתמש במערכת, וכמובן שוב מחלק Ticket נוסף ע"פ אותו סד"פ).

4.1) רמת הTrust של ה-TGT בDomain היא מרובת שלבים, כלומר הלקוח עצמו לא חייב לקבל את ה-TGT הראשוני, אלא יש עניין של דלגציה(בעיקר לתאימות לאחור, it ואולי תבין מה ה-check box של Trust This computer for delegation באמת אומר או איך דלגציה עובדת ב-SSPIים של שירותים וכו'), באותו פורטל ארגוני אפשר לבנות מנגון אימות אחר, מבוסס Forms , Java וואט אבר, גם Windows Authentication מקומי רגיל וברגע שהאימות התבצע בהצלחה(לא משנה באיזה "פרוטוקול") השירות מבקש TGT בשם היוזר על מנת שהוא יכול לגשת דרכו למשאבים אחרים.

4.2) אני בכלל לא הולך להכנס לעניין של Forest wide ו-Cross Forests trusts כי זה דורש בערך 10 עמודים של הסבר רק בשביל לכסות את הבסיס

5) אני חייב לציין שהידע שלך בכל הנושא הזה שווה לתחת, אל תקח את זה אישית אני שמוק ויש .

נ.ב. יש סיבה למה קוראים "למנהלי רשת" בארץ אינסטלטורים, חס וחלילה שצריך לבקש מהם לייצר רשומת SSPI או ליצור TGT ידנית בשביל שירות של Unix, הרמה של אנשי ה-IT בארץ לעומת חול היא פשוט בזיון.

קישור לתוכן
שתף באתרים אחרים

א. אל תפחד להעליב אותי, אני לא לוקח שום דבר אישית.

ב. כשאמרת נטלוגון נפתח לי במוח חלק מ"הפאזל" (שמאיזו שהיא סיבה מטומטת יחסתי אותו לקרברוס).

ג. תודה רבה על כך שהזכרת לי (שכמעט שחכתי אותם לחלוטין) ועל הרבה דברים חדשים.

*העפתי את אוסף השטויות שכתבתי למ ען לא יטעו שנית.

קישור לתוכן
שתף באתרים אחרים

קודם כל תודה ללב שבהיעדרי החזיר את כבוד הבנת הנקרא :)

בוט רגיל->הזדהות של המחשב מול הDC->הזדהות של היוזר מול הDC-> המשך בהתאם להגדרות יוזר ומחשב בדומיין-> זהו.

דובי, האם הנ"ל נכון ?

תוכל עכשיו להלביש את השלד הנ"ל על פני התהליכים שרצים ומי פונה למי ומה עושה בתהליך האימות של מחשב המחובר לדומיין מרגע ה LOG ON עד שהתוכנות במע' ההפעלה של ה-CLIENT עולות?

קישור לתוכן
שתף באתרים אחרים

מכל הדברים שדובי כתב פה אי פעם בפורום הצלחתי להבין שמדובר בבנאדם בעל ידע עמוק בכמה תחומים שלא מסוגל לבטא את עצמו כמו שצריך על דפי הפורום בלי להישמע כועס/שחצן/סנוב/multicore.

חבל. :-\

קישור לתוכן
שתף באתרים אחרים

ארכיון

דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.

×
  • צור חדש...