Was passiert wenn eine Rechner in die Domaine aufgenommen wird

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Kerberos-Ticket-Austausch
  • Der Rechner fordert ein Ticket Granting Ticket (TGT) vom Key Distribution Center (KDC) des Active Directory-Domänencontrollers (DC) an.
  • Dabei authentifiziert sich der Benutzer mit einem Domänenkonto.
  • Das TGT wird auf dem Client im Credential Cache gespeichert.
  • Auf Linux-Systemen ist dies in der Regel in Verzeichnissen wie /tmp oder /var.
  • Auf Windows wird das Ticket im Ticket-Cache des Benutzers gespeichert.
  • Dieses TGT ermöglicht es dem Client, Service-Tickets für die Authentifizierung bei anderen Diensten innerhalb der Domäne zu erhalten.
Erstellung eines Maschinenkontos in Active Directory
  • Der Domänencontroller erstellt ein Maschinenkonto für den Rechner in der Active Directory-Datenbank unter "Computers".
  • Dieses Konto enthält eine Security Identifier (SID).
  • Weitere Informationen wie den DNS-Namen des Rechners sind ebenfalls im Maschinenkonto gespeichert.
DNS-Registrierung
  • Der Rechner registriert seinen vollqualifizierten Domänennamen (FQDN) im DNS der Domäne.
  • Die IP-Adresse des Rechners wird ebenfalls im DNS der Domäne gespeichert.
  • Dies ermöglicht es, den Rechner über DNS im Netzwerk aufzulösen.
Zeitsynchronisation
  • Der Rechner synchronisiert seine Zeit mit dem Domänencontroller.
  • Dies erfolgt üblicherweise über das Network Time Protocol (NTP).
  • Kerberos erfordert eine enge Synchronisation der Zeit.
  • Abweichungen von mehr als 5 Minuten führen zu Ticket-Fehlern.
LDAP-Verbindung
  • Der Rechner kommuniziert über das Lightweight Directory Access Protocol (LDAP) mit dem Domänencontroller.
  • Über LDAP werden Benutzerinformationen und Gruppenmitgliedschaften abgerufen.
  • Dies ist notwendig für die Authentifizierung oder Autorisierung von Benutzern.
Authentifizierung und Gruppenrichtlinien
  • Nach dem Domänenbeitritt kann der Rechner Domänenbenutzer authentifizieren.
  • Je nach Konfiguration können auch rudimentäre Gruppenrichtlinien (GPOs) angewendet werden.
Maschinenpasswort
  • Ein Maschinenpasswort wird zwischen dem Rechner und dem Domänencontroller ausgetauscht.
  • Dieses Maschinenpasswort wird automatisch alle 30 Tage erneuert.
  • Die Erneuerung des Maschinenpassworts dient der Aufrechterhaltung der Sicherheit.
Kerberos-Keytab-Datei
  • Auf dem Client wird eine Keytab-Datei erstellt.
  • Die Keytab-Datei enthält verschlüsselte Kerberos-Schlüssel.
  • Diese Schlüssel ermöglichen es Diensten, sich automatisch bei Kerberos zu authentifizieren, ohne dass Passwörter benötigt werden.
  • Dienste wie Samba oder Apache verwenden die Keytab-Datei, um Kerberos-Tickets für die Authentifizierung zu erhalten.
  • Die Keytab-Datei wird an einem sicheren Ort auf dem Client gespeichert, z.B. /etc/krb5.keytab unter Linux.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Was_passiert_wenn_eine_Rechner_in_die_Domaine_aufgenommen_wird&oldid=57587