Про SMBRelay (или если быть точным NTLM-Relay) написано и сказано довольно много. Совершенно нет желания
вспоминать подробности данной атаки. Напомню только то, что суть атаки сводится к манипуляциям с аутентификационными данными пользователя, которые затем могут быть перенаправлены на другой ресурс.
Такое перенаправление позволяет аутентифицироваться и получить доступ к третьему ресурсу, что обычно выливается в загрузку файла с его последующим запуском.
Читать полностью »
Метка «kerberos»
SMB Hijacking. Kerberos не помеха
2013-06-11 в 8:53, admin, рубрики: intercepter-ng, kerberos, smbrelay, sniffing, информационная безопасность, метки: intercepter-ng, kerberos, smbrelay, sniffingУстановка сервера Openfire на Debian в домене AD2008 с прозрачной авторизацией пользователей
2013-05-29 в 10:56, admin, рубрики: active directory, Debian, jabber, kerberos, ldap, openfire, SSO, windows, Песочница, метки: active directory, Debian, jabber, kerberos, ldap, openfire, SSO, windowsЗдравствуйте!
Хочу поделиться опытом установки сервера Openfire на Debian в домене AD Windows Server 2008 с использованием SSO клиентом Spark.
Сама установка проста и занимает немного времени, основные сложности для меня возникли при настройке kerberos-авторизации всей связки ПО.
Инфраструктура:
Openfire 3.8.2 устанавливаем на Debian 7.0 «Wheezy» x64 с использованием СУБД MySQL.
Имя Debian-сервера: openfireserver.
Служба Active Directory развернута на Windows 2008 Server Standard (Kerberos использует шифрование RC4-HMAC-NT по умолчанию).
Домен realm.local.
Рабочие станции Windows XP Pro и Windows 7 Pro x32/x64 с установленным клиентом Spark 2.6.3.
Читать полностью »
Linux в домене Active Directory
2013-03-27 в 12:08, admin, рубрики: active directory, kerberos, linux, системное администрирование, метки: active directory, kerberos, linux Перед администраторами иногда встают задачи интеграции Linux серверов и рабочих станций в среду домена Active Directory. Обычно требуется:
1. Предоставить доступ к сервисам на Linux сервере пользователям домена.
2. Пустить на Linux сервер администраторов под своими доменными учётными данными.
3. Настроить вход на Linux рабочую станцию для пользователей домена, причём желательно, чтобы они могли при этом вкусить все прелести SSO (Я, например, не очень люблю часто вводить свой длинный-предлинный пароль).
Обычно для предоставления Linux системе пользователей и групп из домена Active Directory используют winbind либо настраивают библиотеки nss для работы с контроллером домена Active Directory по LDAP протоколу. Но сегодня мы пойдём иным путём: будем использовать PowerBroker Identity Services (Продукт известен также под именем Likewise).
Читать полностью »
Advanced Active Directory Services WS2012 – информация от Экс-Архитектора Microsoft
2013-03-26 в 9:39, admin, рубрики: kerberos, ldap, services, virtualization, Блог компании «Звезды и С», виртуализация, Кибкало, Серверное администрирование, системное администрирование, метки: kerberos, ldap, services, virtualization, виртуализация, Кибкало Алексей Кибкало продолжает делиться секретами! Предлагаем посмотреть запись вебинара.
За два часа были освещены следующие темы:
Читать полностью »
Настройка Kerberos-аутентификации с использованием смарт-карт
2013-02-27 в 12:05, admin, рубрики: kerberos, linux, pam, Блог компании Компания «Актив», информационная безопасность, рутокен эцп, метки: kerberos, linux, pam, информационная безопасность, рутокен, рутокен эцпВ продолжение давней темы про использование двухфакторной аутентификации в ОС GNU/Linux позвольте рассказать про схему работы и настройку аутентификации с помощью Kerberos. В этой статье мы рассмотрим процесс настройки MIT Kerberos для аутентификации пользователей по сертификатам и ключевым парам, находящимся на USB-токене. Также материалы, изложенные в статье, можно использовать для настройки аутентификации в домене Windows.Читать полностью »
Настройка сервера аутентификации посредством связки Kerberos+LDAP на базе ROSA Enterprise Linux Server
2013-02-19 в 3:46, admin, рубрики: kerberos, ldap, linux, системное администрирование, метки: kerberos, ldap, linux, tutorial, системное администрирование Введение
Продолжение серии туториалов. Предыдущие части:
Развёртывание DNS/DDNS и DHCP сервера на ROSA Enterpise Linux Server за несколько минут
Почтовый сервер на базе ROSA Server Enterpise Linux за несколько минут
Простой домен на базе ROSA Enterprise Linux Server и Samba 3 с поддержкой перемещаемых профилей
В этой статье мы рассмотрим создание сервера для централизованной аутентификации пользователей посредством LDAP и хранением в базе LDAP пользовательских профилей, а также аутентификацию с помощью Kerberos с хранением информации о профилях в дереве каталогов LDAP. В качестве приятной мелочи — автоматическое создание профилей в домашнем каталоге при подключении.
Читать полностью »