triển khai giao thức kerberos _giao thức mạng kma
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.66 MB, 32 trang )
TRIỂN KHAI GIAO THỨC
KERBEROS
Giao thức an toàn mạng
Người hướng dẫn: TS Trần Thị Lượng
Sinh viên thực hiện: abc
Mã sinh viên: AT
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC KERBEROS
Mơ hình mạng:
Server
OS: Windows Server 2012
IP: 10.6.15.128
Domain Name:
hainguyenkma.com
Client
OS: Windows 10
IP: 10.6.15.129
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC KERBEROS
Cấu hình Server:
⮚ Thiết lập Domain :
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC KERBEROS
Cấu hình Server:
⮚ Cấu hình IP
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC KERBEROS
Cấu hình Client:
⮚ Cấu hình địa chỉ IP
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC KERBEROS
Kết nối giữa client – server
Kết nối giữa server – client
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC KERBEROS
Cấu hình Client:
⮚ Thực hiện join domain
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC KERBEROS
Bắt gói tin liên quan đến Kerberos bằng wireshark
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC KERBEROS
•
•
Gói tin AS
REQ(Authentication
Service Request) : Máy
khách (Windowns 10) gửi yêu
cầu xác thực đến máy chủ
Kerberos (KDC) bằng cách
gửi một gói tin AS_REQ chứa
tên người dùng (desktopl252kj1$) và tên máy chủ
(hainguyenkma.com)
Điều này yêu cầu KDC cấp
một Ticket Granting Ticket
(TGT) để tiếp tục phiên làm
việc
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC KERBEROS
• Gói tin AS-REP (Authentication
Service Reply) : Sau khi nhận
được yêu cầu AS-REQ, máy chủ
xác thực (AS) sẽ kiểm tra thông
tin và phản hồi bằng gói tin ASREP.
• Gói tin này chứa TGT, được mã
hóa bằng khóa chia sẻ giữa máy
khách và AS. Máy khách sẽ sử
dụng TGT này để yêu cầu truy
cập vào các dịch vụ khác.
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC KERBEROS
• Gói tin TGS-REQ (Ticket
Granting Service Request)
Máy khách sử dụng TGT
trong AS-REP để yêu cầu
một Ticket Granting Service
(TGS) ticket từ máy chủ phân
phối dịch vụ (Ticket Granting
Server - TGS).
• Gói tin TGS-REQ chứa TGT
và yêu cầu truy cập tới một
dịch vụ cụ thể (service
principal).
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC KERBEROS
•
Gói tin TGS-REP (Ticket
Granting Service Reply)
Máy chủ phân phối dịch vụ
(TGS) kiểm tra thơng tin
trong TGT và phản hồi với
gói tin TGS-REP chứa TGS
ticket được mã hóa bằng
khóa chia sẻ giữa máy khách
và TGS.
• TGS ticket này sẽ được sử
dụng để yêu cầu truy cập
vào dịch vụ cụ thể (service
principal).
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC KERBEROS
• Sesion Setup Request :
Máy khách sử dụng TGS ticket
trong TGS-REP để u cầu truy
cập vào dịch vụ cụ thể (service
principal).
• Gói tin TGS-REQ chứa
TGS ticket và thông tin về
service principal.
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC KERBEROS
• Sesion Setup Response :
Server trả lời accept yêu cầu
dịch vụ
MIT KERBEROS
Mơ hình mạng:
Server
OS: Ubuntu 22.04
IP: 10.6.15.50
Hostname:
server.hainguyenkma.com
Client
OS: Ubuntu 22.04
IP: 10.6.15.133
Hostname:
client.hainguyenkma.com
MIT KERBEROS
Cấu hình server:
⮚Đặt địa chỉ IP:
MIT KERBEROS
Cấu hình server:
⮚Đặt host name
⮚Cấu hình file
/etc/hosts
MIT KERBEROS
Cấu hình server:
⮚Cấu hình lại file /etc/krb5.conf
MIT KERBEROS
Cấu hình server: Tạo Kerberos database
MIT KERBEROS
Cấu hình server:
⮚Khởi động lại các dịch
vụ
⮚Thiết lập chế độ tự
động khởi động cho
máy chủ KDC
MIT KERBEROS
Cấu hình server:
⮚Sửa file cấu hình /etc/krb5kdc/kadm5.acl để cấp quyền cho admin
⮚Khởi động lại máy chủ quản trị KDC
MIT KERBEROS
Cấu hình server:
⮚Tạo Kerberos admin:
MIT KERBEROS
Cấu hình server:
⮚Tạo tài khoản cho client
MIT KERBEROS
Cấu hình client:
⮚Đặt lại địa chỉ IP
MIT KERBEROS
Cấu hình client:
⮚Đặt host name
⮚Sửa file /etc/hosts
