Sage24 10 Geschrieben 24. September 2007 Melden Teilen Geschrieben 24. September 2007 Hallo zusammen, bin gerade für die 298/299 am lernen und habe schon so einiges zum Kerberos gelesen. Meine Frage: Man erhällt ja über Umwege (LSA&DC) irgendwann ein Sitzungsticket. Was beinhaltet dieses Sitzungsticket? Ist dort nur die eine SID (die des Benutzerkontos) oder sind dort auch die SIDs der Gruppen, in denen der Benutzer Mitglied ist? Möglichkeit 1: Dann müsste jede Ressource erstmal prüfen, was denn die eine SID welche an die Ressource möchte darf. Bei einer Netzwerkstörung wäre dies also nicht mehr möglich. Möglichkeit 2: Die Ressource prüft, ob die SIDs, die der Benutzer durch die Gruppen ebenfalls hat mit den DACL-Listen der Ressourcen übereinstimmen. Wenn dem so ist => Access Granted! Dies wäre eigentlich auch eine bessere Möglichkeit, da bei einem Netzwerkausfall der Zugriff gewährt werden könnte. Zitieren Link zu diesem Kommentar
Schluml 10 Geschrieben 24. September 2007 Melden Teilen Geschrieben 24. September 2007 Moin naja meines Wissen enthält das Token die SID vom User und zusätzlich die DACL welche wiederum die SIDs der Gruppen enthält. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 24. September 2007 Melden Teilen Geschrieben 24. September 2007 Servus, der Benutzer bekommt bei der Anmeldung ein Access-Token und dabei werden die Gruppenmitgliedschaften ausgewertet. Änderungen an den Gruppenmitgliedschaften können und werden NICHT "online" ausgewertet. Das Access Token wird nur bei der Anmeldung erstellt und wird nicht während der laufenden Benutzer-Sitzung automatisch aktualisiert. Bei der Benutzer-Anmeldung erzeugt der Client mit Hilfe seines Anmelde-DCs ein Access-Token für den User. In diesem Token steht seine aktuelle SID, die SID seiner SID-History und die SIDs aller Gruppen, denen der Benutzer angehört. Mit diesem Token wird dem Benutzer erlaubt, auf die Netz-Ressourcen zuzugreifen. In den Ressourcen (z.B. Freigaben) ist ebenfalls die SID hinterlegt (die Namen der Zugriffsberechtigten). Dann vergleicht der Server die SID in den ACLs mit der SID im Access-Token des Benutzers. Der Client findet über das DNS seinen KDC der ihm sein Ticket ausstellt. Yusuf`s Directory - Blog - Kerberos - Das Authentifizierungsprotokoll unter Windows Server 2003 Zitieren Link zu diesem Kommentar
Sage24 10 Geschrieben 24. September 2007 Autor Melden Teilen Geschrieben 24. September 2007 Dank Daim, so habe ich es mir auch vorgestellt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.