Was passiert wenn eine Rechner in die Domaine aufgenommen wird
Version vom 10. Oktober 2024, 04:54 Uhr von Thomas.will (Diskussion | Beiträge)
- Kerberos-Ticket-Austausch
- Der Rechner fordert ein Ticket Granting Ticket (TGT) vom Key Distribution Center (KDC) des Active Directory-Domänencontrollers (DC) an.
- Dabei authentifiziert sich der Benutzer mit einem Domänenkonto.
- Das TGT wird auf dem Client im **Credential Cache** gespeichert.
- Auf Linux-Systemen ist dies in der Regel in Verzeichnissen wie `/tmp` oder `/var`.
- Auf Windows wird das Ticket im Ticket-Cache des Benutzers gespeichert.
- Dieses TGT ermöglicht es dem Client, Service-Tickets für die Authentifizierung bei anderen Diensten innerhalb der Domäne zu erhalten.
- Erstellung eines Maschinenkontos in Active Directory
- Der Domänencontroller erstellt ein Maschinenkonto für den Rechner in der Active Directory-Datenbank unter "Computers".
- Dieses Konto enthält eine Security Identifier (SID) und weitere Informationen wie den DNS-Namen des Rechners.
- DNS-Registrierung
- Der Rechner registriert seinen vollqualifizierten Domänennamen (FQDN) und seine IP-Adresse im DNS der Domäne, sodass er über DNS im Netzwerk aufgelöst werden kann.
- Zeitsynchronisation
- Der Rechner synchronisiert seine Zeit mit dem Domänencontroller, üblicherweise über NTP. Kerberos erfordert eine enge Synchronisation der Zeit (Abweichungen von mehr als 5 Minuten führen zu Ticket-Fehlern).
- LDAP-Verbindung
- Der Rechner kommuniziert über LDAP (Lightweight Directory Access Protocol) mit dem Domänencontroller, um Benutzerinformationen und Gruppenmitgliedschaften abzurufen, wenn dies für die Authentifizierung oder Autorisierung notwendig ist.
- Authentifizierung und Gruppenrichtlinien
- Nach dem Domänenbeitritt kann der Rechner Domänenbenutzer authentifizieren und, je nach Konfiguration, rudimentäre Gruppenrichtlinien (GPOs) anwenden.
- Maschinenpasswort
- Ein Maschinenpasswort wird zwischen dem Rechner und dem Domänencontroller ausgetauscht und automatisch alle 30 Tage erneuert, um die Sicherheit zu gewährleisten.
- Kerberos-Konfiguration auf dem Client
- Der Rechner konfiguriert nach dem Beitritt seine Kerberos-Einstellungen, sodass der Domänencontroller als KDC verwendet wird.
- In Linux-Systemen wird diese Konfiguration in der Datei `/etc/krb5.conf` gespeichert, während dies bei Windows automatisch geschieht.
- Das Kerberos-Ticket ermöglicht es dem Client, sich nahtlos bei anderen Diensten in der Domäne zu authentifizieren, ohne bei jeder Anmeldung ein Passwort eingeben zu müssen.