活动目录验证过程原理。我想了解AD内,一台电脑向DC提交验证的具体过程。从client pc启动到发现DC,然后向DC提交验证数据,***完成验证。期间使用那些端口,那些协议,怎样的验证过程?麻烦提供一个详细点的文章,谢谢!
回答:根据您的描述,我对这个问题的理解是:您想了解一台电脑向DC提交验证的具体过程。
如果您所用的客户操作系统不是Windows 3.1, Windows 95, Windows98, Windows NT, 也即您的客户机系统是Windows 2000及以上,并且DC也是Windows 2000及以上,那么验证过程使用的是Kerberos协议。如果您的客户机或者DC之一是Windows 2000以下,则验证使用的是NTLM协议。在Windows 2000及以上的域环境中,默认的验证协议是Kerberos v5。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1
我们假设现在用户是在一个Windows 2003的域环境。当一台客户机登录域时,客户按下CTRL+ALT+DEL, 机器的 Winlogon 服务在转到登录的界面前,会触发 Winlogon的组件之一GINA DLL。GINA会显示登录界面,同时 GINA 也负责收集用户登录的数据,打包成数据单位,然后送给LSA认证。用户输入用户名及密码,选定域。当按下确定时, GINA 把用户信息传给Winlogon。 Winlogon 把信息传给 LSA。 LSA 使用LsaLogonUser进行验证. 就在此时,LSA开始使用Kerberos V5验证协议开始验证。
LSA收到用户密码后,使用DES-CBC-MD5加密方法加密生成一个Key。(所以Kerberos version 5验证协议必须支持DES-CBC-MD5)。这个Key就是用户密钥。LSA 与Kerberos SSP 互动,得到TGT Ticket和service ticket. 使用这些ticket, LSA就可以和KDC(Key Distribution Center密钥分发中心)交换信息。(客户机通过DNS查询来定位KDC,每台DC都是在DNS注册过的KDC)。通过和KDC的互动,客户机使用 Kerberos发送消息 KRB_AS_REQ 给KDC。该消息包括用户名,域以及生成的密钥。KDC 从其数据库中找到用户及用户密钥,对比结果,如果用户及密钥都相同,则该用户被允许登录。但此时用户仅仅是能登录,如果要做其余的动作,比如浏览共享文件夹等,则用户要先与KDC做近一步的互动。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1
以上所提到的具体信息,请参考http://technet2.microsoft.com/windowsserver/en/library/4a1daa3e-b45c-44ea-a0b6-fe8910f92f281033.mspx?mfr=true
从上我们可以看到,用户登录域,必须先通过DNS定位KDC,然后使用Kerberos验证协议。这2步是必须的。DNS使用的是TCP和UDP的53端口,Kerberos使用的是TCP和UDP的88端口。所以对于您的问题,可以看到,登录使用的协议是Kerberos V5,端口是TCP和UDP的53和88。
http://technet2.microsoft.com/windowsserver/en/library/4a1daa3e-b45c-44ea-a0b6-fe8910f92f281033.mspx?mfr=true
本文出自 gnaw0725 的BLOG 详情请参阅博客
【编辑推荐】