admin 管理员组文章数量: 887019
2024年4月13日发(作者:sqlmap使用参数)
AD域认证问题日常定位方法 内部公开
AD域认证问题日常定位方法
1 引子
目前TSM的AD域认证过程中经常出现问题,由于AD系统庞大而且终端代理使用第三
方库执行主要认证业务,所以AD域认证过程中的问题很难定位和解决。鉴于此,特将之前
用于定位AD域认证问题的一些经验总结一下,方便今后开发和测试的同事在现场定位问题。
2 AD域认证过程介绍
TSM系统的AD域认证过程主要涉及到三个角色,分别是:TSM服务器、AD域控、终端代理。
TSM和AD的联动认证是基于标准的Kerberos协议,标准的Kerberos认证流程如下:
TSM在此基础上做了一些调整,主要是第5步和第6步的交互,其交互信息是通过SSL来加密
的。具体交互流程图如下所示:
3/26/2013
华为机密,未经许可不得扩散 第1页, 共7页
AD域认证问题日常定位方法 内部公开
从上面的交互流程图可以看出来,整个交互过程分为3个阶段分别是:AS(Authentication
Service Exchange )、TGS(Ticket Granting Service Exchange )、AP(Client/Server Exchange )。
在AS阶段,主要验证的是当前用于进行AD域认证的用户是当前AD域控上的合法用户。所
以一般如果用户名或者密码错误时将会在这个阶段得到AD返回的错误信息。此外如果出现
TSM服务器和AD上的时间偏差较大的时候也会在这个阶段出错。
在TGS阶段,主要是终端代理获取其要请求的认证服务的票证的过程,如果这个时候请求的
认证服务不存在,则在第4步返回的错误信息中指示
KDC_ERR_S_PRINCIPAL_UNKNOWN,表明当前请求的服务不存在。之前在大足的AD域
联动测试中就出现了这个问题。
在AP阶段,服务器将会验证终端代理发送的TGS,来决定当前认证用户是否具有访问当前
请求的认证服务的权限。
3 基本问题定位方法
3.1 验证网络是否可达
在定位AD域认证相关的问题时,首先第一点是验证网络是否可达即,是否能够访问你当前
AD域控。
3/26/2013
华为机密,未经许可不得扩散 第2页, 共7页
版权声明:本文标题:AD域认证问题的日常定位方法 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/free/1713014936h628013.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论