Юрий, большое спасибо за статью! У меня вопрос по поводу U2U. Когда мы используем U2U сервисный билет будет зашифрован сессионным ключом KDC пользователя-"сервера" , который он получит в ходе Kerberos аутентификации (Например при интерактивном входе в систему на своем компьютере). Сам сессионный ключ KDC пользователя-сервера будет получен путем передачи TGT билета пользователя-сервера пользователю-клиенту, когда стандартный запрос AP-REQ к серверу будет отклонен. Этот запрос отклоняется по причине того что, пользователь-сервер не может найти свои "долгосрочные" ключи (или нет?) и таким образом ему необходимо использовать сессионный ключ. Вопрос в том, что я не понимаю почему пользователь-сервер не может найти свои "долговременные" ключи? По идее эти ключи хранятся в LSA, а если быть более точным, в сессии пользователя-сервера. Соответственно пользователь-сервер имеет доступ к этой части LSA (ведь там же хранятся билеты и сессионные ключи) И, если, например, мы выполняем интерактивный вход на компьютер-сервер посредством пароля, то в сессии пользователя-сервера помимо билетов, также сохраняются ключи в формате rc4, aes. Именно эти ключи, насколько я понимаю, и считаются "долговременными". А, если вход на компьютер-сервер был осуществлен посредством сертификатов, разве в LSA не будет лежать наш rc-4 ключ, который по идее можно было бы использовать для расшифровки TGS при определенных условиях?
Юрий, большое спасибо за статью! У меня вопрос по поводу U2U. Когда мы используем U2U сервисный билет будет зашифрован сессионным ключом KDC пользователя-"сервера" , который он получит в ходе Kerberos аутентификации (Например при интерактивном входе в систему на своем компьютере). Сам сессионный ключ KDC пользователя-сервера будет получен путем передачи TGT билета пользователя-сервера пользователю-клиенту, когда стандартный запрос AP-REQ к серверу будет отклонен. Этот запрос отклоняется по причине того что, пользователь-сервер не может найти свои "долгосрочные" ключи (или нет?) и таким образом ему необходимо использовать сессионный ключ. Вопрос в том, что я не понимаю почему пользователь-сервер не может найти свои "долговременные" ключи? По идее эти ключи хранятся в LSA, а если быть более точным, в сессии пользователя-сервера. Соответственно пользователь-сервер имеет доступ к этой части LSA (ведь там же хранятся билеты и сессионные ключи) И, если, например, мы выполняем интерактивный вход на компьютер-сервер посредством пароля, то в сессии пользователя-сервера помимо билетов, также сохраняются ключи в формате rc4, aes. Именно эти ключи, насколько я понимаю, и считаются "долговременными". А, если вход на компьютер-сервер был осуществлен посредством сертификатов, разве в LSA не будет лежать наш rc-4 ключ, который по идее можно было бы использовать для расшифровки TGS при определенных условиях?