Доменная аутентификация это

Аутентификация

Интегрированная аутентификация Windows

Интегрированная аутентификация Windows является наиболее безопасным методом аутентификации, однако она доступна только в Internet Explorer. Этот тип аутентификации раньше был известен как аутентификация NTLM и аутентификация Windows NT вопрос/ответ. При интегрированной аутентификации Windows браузер клиента проверяет сам себя на сервере посредством криптографического обмена данными..

Интегрированная аутентификация Windows поддерживает как протокол Kerberos v5, так и протокол NTLM (NT LAN Manager ) для аутентификации посредством пакета Negotiate . При наличии Active Directory и соответствующей поддержке браузером (IE 5 или выше на платформе Windows 2000) используется протокол Kerberos, иначе – протокол NTLM . Как Kerberos, так и NTLM имеют некоторые ограничения. Интересен тот факт, что преимущества одного соответствуют слабым местам другого. Kerberos, как правило, работает с прокси-серверами, но с межсетевыми экранами его функционирование не столь эффективно. NTLM обычно работает через межсетевые экраны, но достаточно посредственно взаимодействует с прокси-серверами.

Несколько слов о Microsoft Negotiate

Microsoft Negotiate представляет собой пакет, обслуживающий интерфейс между различными поставщиками услуг по поддержке безопасности. Он может осуществлять выбор между различными пакетами аутентификации. IIS использует пакет Negotiate для аутентификации, и в этом случае происходит выбор протокола Kerberos или протокола NTLM . В данный пакет также добавлена поддержка будущих аутентификационных пакетов , что является преимуществом Negotiate . По умолчанию Negotiate выбирает Kerberos как наиболее безопасный протокол. Если по какой-либо причине протокол Kerberos недоступен, то Negotiate возвращается к использованию NTLM .

Аутентификация NTLM

NTLM представляет собой расширенную версию старого протокола аутентификации LM ( LAN Manager ). NTLM работает посредством вопросов/ответов между сервером и клиентом без передачи пароля пользователя через сеть в открытом виде. Клиент должен подтвердить то, что он знает пароль пользователя, посредством отправки зашифрованного хэша.

NTLM функционирует следующим образом.

1. Пользователь указывает имя пользователя, пароль и имя домена при входе на компьютер-клиент.
2. Клиент создает хэш данного пароля и удаляет оригинал.
3. Клиент отправляет серверу имя пользователя в открытом виде.
4. Сервер отправляет клиенту 16-битный фрагмент случайных данных.
5. Клиент шифрует этот фрагмент, а также хэш пароля пользователя и передает их на сервер.
6. Сервер передает имя пользователя, случайный фрагмент данных и ответ клиента на контроллер домена.
7. Контроллер домена шифрует отрезок случайных данных вместе со своим собственным хэшем пароля пользователя, после чего сравнивает их с элементами, присланными сервером.
8. Если значения совпадают, контроллер домена уведомляет сервер об успешном завершении аутентификации.
9. Если значения или имя пользователя не совпадают, контроллер домена уведомляет об этом сервер, который передает клиенту соответствующее сообщение. После этого браузер клиента запрашивает у пользователя аутентификационные данные .

Аутентификация Kerberos

В древнегреческой мифологии Керберос – это сказочная трехглавая собака, охранявшая подземный мир от людей. В настоящее время термином Kerberos называется протокол безопасной аутентификации для доступа к ресурсам. Kerberos основывается на аутентификации с секретным ключом, при которой клиент и сервер используют один и тот же ключ для шифрования и расшифровки. Клиент доказывает знание ключа посредством шифрования сообщения, а сервер доказывает знание ключа посредством расшифровки этого сообщения. Затем сервер берет часть сообщения, шифрует ее и отправляет клиенту. При сохранении целостности сообщения результат аутентификации будет положительным.

Работа Kerberos основывается на центральном сервере, называемом Key Distribution Center ( KDC ) ( Центр распределения ключей ), который предоставляет все необходимые ключи. KDC выпускает так называемые билеты TGT ( Ticket-Granting Tickets ) («Билеты для получения билетов») и предоставляет их клиентам, запрашивающим доступ к ресурсу на сервере.

Ниже показан процесс получения клиентом начального билета TGT.

1. Пользователь осуществляет вход на компьютер-клиент с указанием имени пользователя и пароля.
2. Клиент шифрует пароль и сохраняет его.
3. Клиент отправляет KDC сообщение с запросом на аутентификационные данные для службы TGT, а также зашифрованный пароль пользователя.
4. KDC сравнивает зашифрованный пароль со своей эталонной копией для проверки их идентичности. Также осуществляется проверка временного штампа, приложенного клиентом к запросу, для подтверждения того, что указанное в штампе время находится в пределах пяти минут собственного времени KDC .
5. В случае полного соответствия KDC создает запрошенные аутентификационные данные для службы TGT посредством генерации сеансового ключа входа и шифрования его на пользовательском ключе.
6. KDC создает другой фрагмент аутентификационных данных посредством шифрования сеансового ключа входа и TGT пользователя своим собственным эталонным ключом.
7. KDC отправляет оба фрагмента аутентификационных данных клиенту.
8. Клиент расшифровывает сеансовый ключ входа из первого отрезка аутентификационных данных с помощью зашифрованного пароля и сохраняет этот сеансовый ключ входа в кэше своего билета.
9. Клиент также сохраняет TGT в своем кэше билета.

Теперь у клиента есть TGT, и он может использовать его для получения билетов на доступ к ресурсам. Вот как это происходит.

1. Клиент запрашивает у KDC билет на доступ к ресурсам на сервере. Клиент предоставляет свой TGT центру KDC вместе с именем нужного ресурса и аутентификационным сообщением, зашифрованным на сеансовом ключе входа.
2. KDC расшифровывает TGT с помощью эталонного ключа, извлекает сеансовый ключ входа и использует его для расшифровки аутентификационного сообщения. Если оно совпадает с эталоном, подлинность клиента подтверждается.
3. KDC создает сеансовый ключ службы для клиента, предназначенный для представления серверу при подаче запросов на ресурсы, и шифрует сеансовый ключ службы на сеансовом ключе входа клиента.
4. KDC шифрует сеансовый ключ входа с использование эталонного ключа сервера, в результате чего создается билет.
5. KDC передает клиенту оба фрагмента аутентификационных данных клиенту, который расшифровывает сеансовый ключ с помощью своего сеансового ключа входа и сохраняет сеансовый ключ службы и билет в своем кэше.

Теперь у клиента есть билет, с помощью которого он получает доступ к ресурсам на сервере.

1. Клиент передает серверу сеансовый билет и аутентификационное сообщение, зашифрованное на сеансовом ключе службы.
2. Сервер расшифровывает сеансовый билет и проверяет временной штамп клиента на запросе (значение штампа должно находиться в пятиминутном интервале собственного времени сервера). Затем сервер получает из данного билета сеансовый ключ .
3. Сервер шифрует временной штамп сеансового билета на сеансовом ключе, после чего отправляет его клиенту.
4. Клиент расшифровывает сообщение и сравнивает временной штамп с оригиналом. Если все совпадает, процесс аутентификации считается успешно завершенным.

Это очень сложный процесс, но он обеспечивает подлинность каждого лица, устанавливающего соединение. Очевидно, что KDC играет важную роль в данном процессе, поэтому необходимо обеспечить безопасность центра KDC .

Объявление

Доменная авторизация на внешних сайтах

• Регистрация: 26.05.2004
• Сообщений: 2054

Не припомню. Обычно все ратуют за единый сервер аутентификации.

Я бы добавил второй фактор — токен, или ОТП, или иное. А так, зачем плодить учётки?

Комментарий

• Регистрация: 17.06.2008
• Сообщений: 1933

Комментарий

• Регистрация: 21.02.2012
• Сообщений: 710

Не припомню. Обычно все ратуют за единый сервер аутентификации.

Я бы добавил второй фактор — токен, или ОТП, или иное. А так, зачем плодить учётки?

Потому что схема говно! При существующем подходе достаточно зайти на сайт, набрать несколько раз неправильный пароль и тебя заблокирует в домене!

Админы-то в курсе, но в упор не хотят слушать. Зато кричат что использование в качестве логина адреса почту снизит безопасность в 2 раза (так как для взлома надо подобрать только пароль, а почту можно из открытых источников узнать). А то что у них сервис нельзя так подключать, так это дело второстепенное.

Комментарий

• Регистрация: 26.05.2004
• Сообщений: 2054

Комментарий

• Регистрация: 15.06.2004
• Сообщений: 607

Комментарий

• Регистрация: 21.02.2012
• Сообщений: 710

Комментарий

• Регистрация: 26.05.2004
• Сообщений: 2054

Комментарий

• Регистрация: 17.06.2008
• Сообщений: 1426

Ну так там же хеши ходят, т.е. если сайт ломанут, можно смело считать, что пароли всех логинившихся доменных пользователей утекли (что в общем не зависит Керберос или НТЛМ)
Да и Микрософт не рекомендует, вообще, доменную аутентификацию для интернет сайтов —

Windows authentication is best suited for an intranet environment for the following reasons:+

• Client computers and Web servers are in the same domain.
• Administrators can make sure that every client browser is Internet Explorer 2.0 or later.
• HTTP proxy connections, which are not supported by NTLM, are not required.
• Kerberos version 5 requires a connection to Active Directory, which is not feasible in an Internet environment.

Атаки на Active Directory. Разбираем актуальные методы повышения привилегий

Содержание статьи

Другие статьи про атаки на Active Directory

Пароли из SYSVOL и GPP

На каждом компьютере с Windows, который работает в сети с Active Directory, имеется встроенная учетная запись администратора, защищенная паролем. Одно из стандартных требований безопасности — регулярно менять этот пароль. Казалось бы, задача несложная. Но только не когда в сети насчитывается под сотню машин.

Чтобы облегчить себе жизнь, ленивые системные администраторы иногда используют групповые политики для установки пароля локального администратора на большом количестве рабочих станций. Это довольно удобно, да и заменить такой пароль, когда придет срок, можно за пару минут. Одна незадача: на всех компьютерах пароль локального админа будет одинаковый.

Из этого следует вывод: получение учетных данных администратора на одной из машин сделает злоумышленника админом сразу на всех. Рассмотрим два способа добиться такого результата.

Учетные данные в SYSVOL

SYSVOL — это общедоменный ресурс Active Directory, к которому у всех авторизованных пользователей есть доступ на чтение. SYSVOL содержит сценарии входа, данные групповой политики и другие данные, которые должны быть доступны везде, где распространяется политика домена. При этом SYSVOL автоматически синхронизируется и используется всеми контроллерами домена. Все групповые политики домена хранятся по адресу

Чтобы упростить управление локальной учетной записью администратора на удаленных компьютерах с Windows, для каждой из них можно использовать собственный сценарий смены пароля. Проблема в том, что часто пароль хранится в виде открытого текста в скрипте (например, в файле VBS), который, в свою очередь, находится в SYSVOL. Вот пример одного из результатов поиска сценария VBS, меняющего пароль локального администратора на сетевых машинах.

Пример VBS-скрипта с официального сайта MSDN

Этот сценарий доступен в галерее Microsoft TechNet, из-за чего нередко используется системными администраторами, которые предпочитают готовые решения. Извлечь из него пароль не составляет никакого труда. А поскольку скрипт хранится в SYSVOL, к которому у каждого пользователя домена есть доступ для чтения, наличие пароля автоматически превращает его обладателя в локального администратора на всех сетевых машинах с виндой на борту.

Настройки групповой политики

В 2006 году инструмент PolicyMaker от Microsoft Bought Desktop Standard был переименован и выпущен вместе с Windows Server 2008 как Group Policy Preferences (GPP, «предпочтения групповой политики»). Одна из наиболее полезных функций GPP — возможность создавать локальных пользователей, настраивать и изменять их учетки, а также сохранять учетные данные в нескольких файлах сценариев:

• карта дисков (Drives.xml);
• источники данных (DataSources.xml);
• конфигурация принтера (Printers.xml);
• создание/обновление сервисов (Services.xml);
• запланированные задачи (ScheduledTasks.xml).

Инструмент, безусловно, полезный: с его помощью можно автоматизировать многие рутинные действия. Например, GPP позволяет использовать групповую политику для выполнения запланированных задач с заданными учетными данными, а также при необходимости менять пароли локального администратора на большом количестве компьютеров.

Теперь давай посмотрим, как эта штука работает. При создании нового предпочтения групповой политики в SYSVOL генерируется связанный XML-файл с соответствующими данными конфигурации. Если в ней указан пароль пользователя, он будет зашифрован AES 256 бит. Но в 2012 году Microsoft опубликовала в MSDN ключ AES, который можно использовать для расшифровки пароля.

Ключ шифрования, представленный MSDN

Иными словами, любой авторизованный в домене юзер может найти в общем ресурсе SYSVOL файлы XML, содержащие cpassword, то есть зашифрованный пароль AES.

Пример содержимого файла Groups.xml

Быстро найти эти значения можно следующей командой:

Для расшифровки пароля можно воспользоваться инструментом Cryptool, при этом нужно в ручном режиме декодировать Base64 и указать ключ с MSDN (подробная инструкция по расшифровке приведена в статье на Хабре). Существует и полностью автоматизированное средство под названием gpp-decrypt, которое требует только значение cpassword и уже предустановлено в Kali Linux. Аналогичная утилита для Windows называется Get-GPPPassword, ее можно отыскать в наборе программ PowerSploit.

Ну а для очень ленивых есть модуль smb_enum_gpp из набора Metasploit. Этот инструмент попросит указать только учетные данные пользователей и адрес контроллера домена.

Так мы можем получить пароль локального администратора, и в большинстве случаев он будет работать на всех компьютерах домена.

DNSAdmins

Microsoft не только реализовала собственный DNS-сервер, но и внедрила для него протокол управления, позволяющий интегрировать DNS-сервер с доменами Active Directory. По умолчанию контроллеры домена также являются DNS-серверами, поэтому DNS-серверы должны быть доступны каждому пользователю домена. Это, в свою очередь, открывает потенциальную возможность для атаки на контроллеры домена: с одной стороны мы имеем сам протокол DNS, а с другой — протокол управления, основанный на RPC.

Пользователь, входящий в группу DNSAdmins или имеющий права на запись в объекты DNS-сервера, может загрузить на DNS-сервер произвольную DLL с привилегиями System. Это очень опасно, поскольку многие корпоративные сети используют контроллер домена в качестве DNS-сервера.

Таким образом, для реализации атаки мы можем просто загрузить на DNS-сервер произвольную библиотеку с помощью dnscmd (путь \ops-builddll должен быть доступен для чтения DC):

Чтобы проверить, была ли загружена DLL, можно использовать следующую команду:

Так как наш пользователь — член группы DNSAdmins, мы можем перезапустить службу DNS:

После перезапуска DNS-сервера будет выполнен код из загруженной библиотеки. Такая библиотека, например, может содержать скрипт PowerShell для обратного подключения.

Пример PowerShell-кода в DLL

После успешного выполнения скрипта мы будем прослушивать на своем хосте обратное подключение:

Пример успешного бэкконнекта

В результате мы получим права system на DC.

Делегирование Kerberos

Делегирование — это функция Active Directory, позволяющая учетке пользователя или компьютера выдавать себя за другую учетную запись. В качестве примера разберем ситуацию, когда пользователь обращается к веб-приложению, чтобы работать с ресурсами на сервере базы данных.

Схема взаимодействия с базой данных через веб-сервер

Исходя из этой схемы, веб-сервер должен работать с сервером базы данных от имени пользователя. Здесь и помогает делегирование — к учетным записям пользователей в среде Windows применяется флаг TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION (T2A4D) User-Account-Control .

Атрибут User-Account-Control (который не следует путать с механизмом контроля учетных записей Windows) устанавливает определенные атрибуты для учетных записей Active Directory — например, если учетная запись отключена, заблокирована или пароль пользователя никогда не истекает.

Для реализации делегирования Microsoft внедрила расширение протокола Kerberos «Служба для доступа пользователя к себе» ( S4U2Self ). Это расширение позволяет службе запрашивать токен для другого пользователя, предоставляя имя пользователя, но не вводя пароль. Когда учетная запись пользователя имеет флаг T24AD , такие токены могут быть запрошены с атрибутом forwardable, который дает службе возможность аутентифицироваться с этими токенами для других служб.

Чтобы избежать неограниченного делегирования, Microsoft гарантировала, что данные токены могут использоваться только для определенных служб, которые настроены для учетной записи пользователя через расширение «Служба для пользователя через прокси» ( S4U2proxy ). Этот параметр контролируется атрибутом msDS-AllowedToDelegateTo в учетной записи пользователя. Он содержит список имен участников службы, который указывает, на какие службы Kerberos пользователь может перенаправлять эти токены (так же, как выполняется обычное ограниченное делегирование в Kerberos). Например, ты хочешь, чтобы твоя веб-служба имела доступ к общей папке для пользователей. Тогда учетная запись службы должна иметь атрибут

Для наглядности рассмотрим схему аутентификации Kerberos.

Схема аутентификации Kerberos

1. Пользователь аутентифицируется в веб-сервисе с использованием не Kerberos-совместимого механизма аутентификации.
2. Веб-служба запрашивает билет для учетной записи user без указания пароля, как для учетной записи svc_web .
3. KDC проверяет значение svc_web userAccountControl для флага TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION , а также не заблокирован ли целевой пользователь для делегирования. Если все в порядке, KDC возвращает перенаправляемый билет для учетной записи пользователя ( S4U2Self ).
4. Затем служба передает этот билет обратно в KDC и запрашивает билет для службы cifs/fs.contoso.com .
5. KDC проверяет поле msDS-AllowedToDelegateTo в учетной записи svc_web . Если служба указана в списке, она вернет билет службы для общей папки ( S4U2proxy ).
6. Веб-служба теперь может проходить проверку подлинности на общем ресурсе в качестве учетной записи пользователя с использованием предоставленного билета.

Неограниченное делегирование

При неограниченном делегировании Kerberos на сервере, на котором размещена служба, контроллер домена DC помещает копию TGT (ticket granting ticket — билет для получения билета) пользователя в TGS (Ticket Granting Server — сервер выдачи билетов или разрешений) службы. Когда данные пользователя предоставляются серверу для доступа к службе, сервер открывает TGS и помещает TGT пользователя в LSASS (Local Security Authority Subsystem Service — сервис проверки подлинности локальной системы безопасности) для дальнейшего использования. Сервер приложений теперь может выдавать себя за этого пользователя без ограничений!

Таким образом, хост, на котором активно неограниченное делегирование, будет содержать в памяти TGT делегированного пользователя. Наша задача — его достать, чтобы скомпрометировать пользователя. Данный вид атаки возможен, если мы скомпрометировали сам хост либо пользователя, имеющего право управлять хостом с делегированием.

Обнаружить все компьютеры с неограниченным делегированием Kerberos очень просто: у них будет выставлен флаг TrustedForDelegation . Это определяется с помощью инструмента ADModule, а конкретнее — следующей команды:

Того же результата можно достигнуть, выполнив такую команду PowerView:

Теперь нужно отослать запрос MS-RPRN RpcRemoteFindFirstPrinterChangeNotification (аутентификация Kerberos) на сервер печати DC (служба Spooler). DC немедленно отправит ответ, который включает TGS (полную копию TGT) учетной записи компьютера контроллера домена, так как на нашем хосте используется неограниченное делегирование.

Чтобы это сделать, сначала поставим прослушивание входящих соединений с помощью Rubeus:

Теперь инициируем запрос с помощью SpoolSample:

В Rubeus мы увидим подключение.

Подключение Rubeus

Теперь получим TGT:

Имея TGT, мы можем выполнить DCSync-атаку с помощью mimikatz:

DCSync krbtgt

Мы добыли NTLM-хеш учетной записи krbtgt и теперь можем сделать golden ticket, с которым получим полный доступ ко всей инфраструктуре домена:

Теперь можно удаленно подключиться к контроллеру домена с учетной записью администратора:

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Что такое Аутентификация: Методы и Элементы

Узнайте больше о том, для чего нужна аутентификация, и ознакомьтесь с её методами

1. Главная
2. Поддержка
3. Глоссарий
4. Аутентификация

Аутентификация (англ. authentication) — это основа безопасности любой системы, которая заключается в проверке подлинности данных о пользователе сервером.

Она не тождественна идентификации и авторизации. Эти три термина являются элементами защиты информации. Первая стадия — идентификация. На ней происходит распознавание информации о пользователе, например, логин и пароль. Вторая стадия — аутентификация. Это процесс проверки информации о пользователе. Третья стадия — авторизация. Здесь происходит проверка прав пользователя и определяется возможность доступа.

Содержание

Зачем нужна аутентификация

Аутентификация нужна для доступа к:

1. Соцсетям
2. Электронной почте
3. Интернет-магазинам
4. Форумам
5. Интернет-банкингу
6. Платежным системам

Элементы аутентификации

1. Субъект — пользователь
2. Характеристика субъекта — информация, предоставляемая пользователем для проверки подлинности.
3. Владелец системы аутентификации — владелец ресурса.
4. Механизм аутентификации — принцип проверки
5. Механизм авторизации — управление доступом

Методы аутентификации

1. Парольные
2. Комбинированные
3. Биометрические
4. Информация о пользователе
5. Пользовательские данные

Парольные

Самый распространенный метод. Аутентификация может проходить по одноразовым и многоразовым паролям. Многоразовый пароль задает пользователь, а система хранит его в базе данных. Он является одинаковым для каждой сессии. К ним относятся PIN-коды, слова, цифры, графические ключи. Одноразовые пароли — разные для каждой сессии. Это может быть SMS с кодом.

Комбинированные

Этот метод говорит сам за себя. Аутентификация происходит с использованием нескольких методов, например, парольных и криптографических сертификатов. Он требует специальное устройство для считывания информации.

Биометрические

Это самый дорогостоящий метод аутентификации. Он предотвращает утечку или кражу персональной информации. Проверка проходит по физиологическим характеристикам пользователя, например, по отпечатку пальца, сетчатке глаза, тембру голоса и даже ДНК.

Информация о пользователе

Она используется для восстановления логина или пароля и для двухэтапной аутентификации, чтобы обеспечить безопасность. К этому методу относится номер телефона, девичья фамилия матери, год рождения, дата регистрации, кличка питомца, место проживания.

Пользовательские данные

Этот метод основывается на геоданных о местоположении пользователя с использованием GPS, а также использует информацию о точках доступа беспроводной связи. Недостаток заключается в том, что с помощью прокси-серверов можно подменить данные.

Классификация видов аутентификации

В зависимости от количества используемых методов

• Однофакторная. Используется только один метод.
• Многофакторная. Используется несколько методов.

В зависимости от политики безопасности систем и уровня доверия

• Односторонняя. Пользователь доказывает право доступа к ресурсу его владельцу.
• Взаимная. Проверяется подлинность прав доступа и пользователя и владельца сайта. Для этого используют криптографические способы.

Чтобы защитить владельца сайта от злоумышленников, используют криптографические протоколы аутентификации.

Типы протоколов обусловлены тем, где происходит аутентификация — на PC или в сети.

Аутентификация на PC

• Login
• PAP (Password Authentication Protocol) — логин и пароль
• Карта доступа — USB и сертификаты
• Биометрические данные

Аутентификация в сети

• Cookies. Используются для отслеживания сеанса, сохранения предпочтений и сбора статистики. Степень защиты невысокая, однако привязка к IP-адресу решает эту проблему.
• Kerberos. Протокол взаимной аутентификации с помощью криптографического ключа.
• SAML (Security Assertion Markup Language) Язык разметки, который позволяет сторонам обмениваться данными аутентификации.
• SNMP (Simple Network Management Protocol) Протокол, который контролирует подключенные к сети устройства.
• Сертификаты X.509 Сертификаты с открытым ключом.
• OpenID Connect. Используется для создания единой учетной записи для аутентификации на разных ресурсах.

Ресурсы

1. В этой статье детально рассмотрены элементы, факторы и способы аутентификации.
2. В этой статье объясняют, для доступа на какие сервисы нужна аутентификация и рассматривают классификацию её методов.
3. В этой статье на UniSender описаны методы и ошибки аутентификации и классифицированы способы.

Также искали с «Аутентификация»

Оценка: 5 / 5 (12)

Начните пользоваться сервисом SendPulse прямо сегодня

Если вам интересно, что такое «Аутентификация: Определение, Методы, Виды» , вам может быть интересен наш сервис рассылок.

Доменная аутентификация это

Здрасте.
Помогите, пжлста.
Есть SQL-сервер, пользователь зарегистрирован в домене. Как при таком подходе подконнектиться к базе, используя компонент TDataBase. Через TADO получается, но только используя windows авторизацию. А как для общего случая — чтобы пользователь мог сам ввести доменное имя и пароль?

← →
Wowa-K ( 2004-09-22 11:40 ) [1]

Пропиши юзера из домена в SQL Server
проставь ему пермижины
и поставь смешанную аутентификацию

← →
Nikolay M. © ( 2004-09-22 11:40 ) [2]

> чтобы пользователь мог сам ввести доменное имя и пароль?

Использовать SQL Server-аутентификацию?

← →
Iren ( 2004-09-22 12:10 ) [3]

Re:Wowa-K
Юзер из домена прописан.
А как смешанную аутентификацию прописать?
Я так понимаю, что у меня есть Window аутентиф-я.
Никакие логины типа доменимя, домен@имя — не прокатывают :((

← →
Reindeer Moss Eater © ( 2004-09-22 12:17 ) [4]

При доменной аутентификации никаких имен и паролей в компонентах доступа указывать не надо.

← →
Iren ( 2004-09-22 12:39 ) [5]

Re:Reindeer Moss Eater
т.е. с чужой машины я не смогу работать?

← →
Reindeer Moss Eater © ( 2004-09-22 12:45 ) [6]

Почему не сможешь?
И что такое «чужая машина»?
Это моя что ли?
Тогда не сможешь. Я не дам!

← →
Iren ( 2004-09-22 12:57 ) [7]

Re:Reindeer Moss Eater
Чужа, в смысле не моя, т.е. в домене она видна под другим (не моим) именем!
если так, то получается, что делфи берет авторизацию винды?!

← →
Reindeer Moss Eater © ( 2004-09-22 13:01 ) [8]

Аккаунт самой машины здесь не при чем.
При доменной аутентификации на SQL сервере пользователь уже зарегистрированный в домене (или на машине с сервером SQL) не указывает ни имени ни пароля (пустые значения).
Получает при этом права пользователя домена/ОС.

На «своей» машине он это делает или на «чужой» — нет никакой разницы.

← →
Iren ( 2004-09-22 14:08 ) [9]

а как тгда серверок узнает я это или не я.
И, если ничего не указывать — Ругается!

← →
Reindeer Moss Eater © ( 2004-09-22 14:09 ) [10]

Серверок верит своему контроллеру домена.

← →
Anatoly Podgoretsky © ( 2004-09-22 14:11 ) [11]

Он узнает это от домена.

← →
Iren ( 2004-09-22 14:13 ) [12]

а контроллер как?
Я чего-то недопонимаю, каким именно образом все это осуществляется!
Например, есть Enterprise Manadger, прописываю там новый сервер, хочу по-умолчанию коннектиться и поэтому указываю имя и пароль пользователя. В этом случае ругается, а если говорю — Windows авторизация, то все нормальненько.
Как это можно объяснить?? Я ведь не хочу через винду идти!

← →
Reindeer Moss Eater © ( 2004-09-22 14:18 ) [13]

а контроллер как?

У компьютеров обычно есть клавиатура.
С помощью её нормальные люди отвечают на запрос имени и пароля при регистрации в домене.

← →
Reindeer Moss Eater © ( 2004-09-22 14:19 ) [14]

В этом случае ругается,

Потому что смешанная авторизация запрещена на нем.

← →
Iren ( 2004-09-22 14:37 ) [15]

И нечего подкалывать!
смешанная, т.е. авторизация через винду и через домен?

← →
Reindeer Moss Eater © ( 2004-09-22 14:42 ) [16]

Смешанная — это через винду или домен либо по имени и паролю вводимому при коннекте к SQL серверу.

← →
MOA © ( 2004-09-22 14:44 ) [17]

>смешанная, т.е. авторизация через винду и через домен?
Смешанная — это WIndows и MSSQL. В случае Windows авторизации: юзер заходит в домен (в начале работы — обязан, да ведь) — получает уникальный билетик. При попытке соединится с MSSQL этот билетик (не имя юзера, не пароль или чего ешё, а именно внутренний дескриптор) предъявляется MSSQL, который и выщемляет из него SID юзера и т.д. Т.е. в этом случае MSSQL полностью доверяет серверу аутентификации (AD), и правильно делает ;).
При MSSQL аутентификации юзер предюявляет MSSQL своё имя и пароль. MSSQL ищет в своих юзерах такого и проверяет пароль.

← →
Iren ( 2004-09-22 14:55 ) [18]

Понятно, спасибо.
Только вот на сервере меня в качестве юзера нет, но есть группа, которая реагирует на винду автор-ю.
А через домен/имя — никак! Это можно разрешить только в случае задания меня как доменного юзера на серваке?

← →
Reindeer Moss Eater © ( 2004-09-22 14:59 ) [19]

А через домен/имя — никак!

Еще раз для тех кто:
Если хочешь попасть на SQL сервер используя доменную аутентификацию, не надо указывать при коннекте ни домен ни имя ни пароль.

← →
Skyle © ( 2004-09-22 15:27 ) [20]

> задания меня как доменного юзера на серваке?

Да

← →
Reindeer Moss Eater © ( 2004-09-22 15:29 ) [21]

Она же говорит, что на сервере уже зарегистрирована её группа.
Зачем конкретный аккаунт регистрировать?

← →
Skyle © ( 2004-09-22 15:33 ) [22]

> [21] Reindeer Moss Eater © (22.09.04 15:29)

Пусть регистрирует, хуже не будет. 😉

На самом деле я неверно понял вопрос, который цитировал.

Автору: один фиг либо авторизация SSPI(Windows) и никакого секса (в смысле, логина и пароля), либо авторизация SQL сервера и никаких виндовсов.

← →
Anatoly Podgoretsky © ( 2004-09-22 16:19 ) [23]

Skyle © (22.09.04 15:33) [22]
Вместе как, на то она и называется Mixed

← →
Iren ( 2004-09-22 17:27 ) [24]

Re: Reindeer Moss Eater
Конкретный аккаунт, точнее имя, необходимо задать,т.к. неизвестно кто в данный момент ломится на сервак. ВОТ!
А Skyle вообще не понял проблемы!

← →
Reindeer Moss Eater © ( 2004-09-22 17:43 ) [25]

Конкретный аккаунт, точнее имя, необходимо задать,т.к. неизвестно кто в данный момент ломится на сервак. ВОТ!

Это ТЕБЕ непонятно.
А SQL серверу — ему понятно и так.
Он верит результату проверки контроллером домена.
Впрочем тебе этого видимо так и не понять.

← →
Iren ( 2004-09-22 17:53 ) [26]

видимо кто-то не знает и не может объяснить!
А я, кстати, уже разобралась!

← →
Skyle © ( 2004-09-23 07:43 ) [27]

> Вместе как, на то она и называется Mixed
Если в данном случае под «вместе» имелось ввиду «и так можно, и этак», то я согласен.

У меня под «вместе» понималось, что не стоит путать понятия и моменты, когда нужно вводить логин/пароль, а когда нет.