Monitoreo del tráfico de autenticación Kerberos

1

He desarrollado una aplicación que utiliza la autenticación de Windows para autenticar a los usuarios en un solo salto. Luego desarrollé esta aplicación para autenticar a los usuarios nuevamente con la autenticación de Windows pero pudiendo realizar múltiples saltos.

El escenario multi hop está funcionando bien. Tengo una computadora A (aplicación cliente), una computadora B (servidor IIS) y una computadora C (servidor OLAP).

Cuando intento monitorear los paquetes de red con Microsoft Network Monitor v3.4 en la computadora A (servidor cliente), no veo ningún paquete de protocolo Kerberos v5. Veo alguna autenticación GSSAPI en algunos otros protocolos de conexión HTTP y TCP a través del monitor. Entonces, ¿cuándo puedo ver el protocolo Kerberos v5 en la herramienta de monitoreo?

Para que la pregunta sea más compleja, ¿se usa el protocolo Kerberos v5 para intercambiar tickets al lado del cliente? KCD en el controlador de dominio y luego el cliente usa este ticket a través de HTTP o TCP, ¿esto es lo que está sucediendo?

    
pregunta Stavros Koureas 29.12.2016 - 10:16
fuente

1 respuesta

1
  

Entonces, ¿cuándo puedo ver el protocolo Kerberos v5 en la herramienta de monitoreo?

Eche un vistazo más de cerca al tráfico GSSAPI.

GSSAPI proporciona una interfaz para los servicios de seguridad genéricos. Kerberos v5 es uno de los servicios de seguridad admitidos por GSSAPI. Si bien es posible escribir código que intercambie directamente el tráfico de Kerberos v5, es común que los sistemas que usan "Kerberos v5" lo implementen a través de GSSAPI.

Esto está de acuerdo con la documentación de Kerberos, que dice (en Desarrollando con GSSAPI capítulo ): "Recomendamos usar GSSAPI [...] para la comunicación segura de la red en lugar de usar la API libkrb5 directamente".

Resumen: no podemos estar 100% seguros sin ver su tráfico, pero probablemente el tráfico GSSAPI que ve está manejando el mecanismo Kerberos 5.

    
respondido por el Jacob 06.01.2017 - 01:35
fuente

Lea otras preguntas en las etiquetas