¿Es suficiente una clave para iniciar sesión?

Navega tus respuestas
2

Es la posesión de un archivo Kerberos .keytab (tal como se genera, por ejemplo, ktpass ) suficiente ¿"pretender ser" ese usuario en una máquina Windows? Por ejemplo, crear un proceso como, o acceder a recursos de red (por ejemplo, un recurso compartido) como ese usuario?

Si es así, ¿hay herramientas que puedan demostrar esto?

FWIW: he podido demostrar que posee un archivo .keytab para el usuario X:

  1. es suficiente para que un cliente se autentique como usuario X en un servicio web de SPNEGO.
  2. parece ser suficiente para que el servicio web SPNEGO se haga pasar por el usuario X (se produce un inicio de sesión local) pero con un límite (es decir, suplantación, no delegación ) privilegios. ¿Puedo ir más lejos y delegar?
pregunta bacar 09.12.2015 - 15:45
fuente

1 respuesta

2

Un archivo keytab de Kerberos es aproximadamente equivalente a una versión guardada de la contraseña relevante. Contiene la clave secreta compartida del servicio.

Por lo tanto, alguien con acceso a un archivo de tabla de claves puede utilizarlo para obtener entradas de Kerberos del usuario (o servicio) relacionado, como si tuvieran la contraseña de ese usuario.

No soy lo suficientemente experto en Windows para saber cómo demostrar esto en Windows. En Unix, usarías algo como kinit -k -t keytab_file principal_name .

    
respondido por el Jacob 07.11.2016 - 16:30
fuente

Lea otras preguntas en las etiquetas

¿Es este un método seguro de cifrado de firma digital +? Spoofing IP address como local a través de Internet