Dosud jsme se věnovali průběhu Kerberos autentizace (SSO) v rámci jedné domény (Realmu). Výhoda protokolu Kerberos je, že umí navazovat vztahy mezi Realmy a provádět autentizaci Cross-Realm. V případě Microsoft domén to znamená, že když máme navázaný vztah důvěry mezi nějakými doménami, tak nám automaticky funguje autentizace. Uživatelský účet se může nacházet v jedné doméně a server (služba) v jiné, uživatel se přesto přihlásí pomocí SSO.

V článku se podíváme na nějaké možnosti hledání problémů, když nastavíme Single Sign-On (SSO) autentizaci pomocí protokolu Kerberos a automatické přihlášení přesto nefunguje. Jako autentizační server uvažujeme AD doménový řadič. Většina možností je obecná, ale v praktických příkladech budeme uvažovat situaci, kdy jde o autentizaci k webové aplikaci z prohlížeče.

Vítejte u prvního dílu seriálu, který se věnuje protokolu Kerberos se zaměřením na Single Sign-On (SSO) v prostředí Microsoft Active Directory. Dnešní díl se přímo Kerberos protokolu nevěnuje, ale popíšeme si základní termíny Active Directory, které potřebujeme znát, a s kterými Kerberos autentizace souvisí (když ji používáme v doménovém prostředí). Stručně zmíníme AD komponenty, protože struktura souvisí s Kerberos Realm. Dále si popíšeme, jak klient hledá doménový řadič (což je zároveň Kerberos autentizační server).

Druhá část seriálu o protokolu Kerberos, se zaměřením na Single Sign-On (SSO) v prostředí Microsoft Active Directory, naváže na první díl a nebude se věnovat Kerberosu, ale věcem okolo Active Directory Domain Services. Docela podrobně se podíváme na přihlašovací jména uživatelských účtů, tedy User Principal Name (UPN) a sAMAccountName. V závěru ještě popíšeme jména instancí služeb (Service Principal Name).

V minulých dílech jsme si popsali důležité termíny Active Directory Domain Services. Dnes se pokusíme popsat techniku Single Sign-On a začneme již úvodním popisem protokolu Kerberos a jeho vlastností.

V tomto díle našeho seriálu budeme pokračovat v popisu protokolu Kerberos V5. Vysvětlíme si všechny důležité pojmy a používané principy, které hrají roli u Kerberos autentizace. V dalším díle využijeme znalost těchto termínů a popíšeme si princip ověřování při Kerberos SSO.

Po té, co jsme si vysvětlili potřebné základy a termíny patřící k Active Directory Domain Services, Single Sign-On a Kerberos protokolu, se dnes pustíme do hlavní části. Popis principu, jak funguje Kerberos autentizace, což zároveň znamená také Single Sign-On. Princip není úplně jednoduchý, používají se různé šifrovací klíče, časové známky, tikety, atd. Někomu stačí znát logický princip funkce a nepotřebuje vědět, jaké pakety se posílají a co obsahují. Proto je popis uveden třikrát, kdy každý jde více do hloubky.

V předchozích dílech jsme si popsali mnoho věcí o protokolu Kerberos a jak funguje pro SSO autentizaci. V dnešním, a několika následujících, se budeme věnovat trochu speciální situaci. Obecně půjde o poslední část autentizace, ověření u služby. Ale budeme popisovat speciální případ, kdy služba je webový server a přihlašujeme se pomocí SSO do webové aplikace. Popíšeme si, co je potřeba nastavit na webovém serveru, aby SSO fungovalo. A rozebereme fungování Kerberos nad HTTP (což samozřejmě zahrnuje i HTTPS).

V tomto díle navážeme na předchozí, kde jsme popisovali SSO pro webovou aplikaci. Protože uvažujeme jiné webové servery než Microsoft IIS, tak si detailně popíšeme vytváření keytab souboru, který se v tom případě využívá. Keytab soubor nám nahradí zařazení a komunikaci serveru s doménovým řadičem.

V předchozích dílech jsme řešili využití Kerberos SSO vůči webové aplikaci hlavně ze strany serveru. V tomto díle se podíváme na to, co je potřeba nastavit u klienta na webovém prohlížeči, aby SSO fungovalo. Věnujeme se Internet Exploreru, Firefoxu a Chromu.

Už jsme si popsali Kerberos protokol a související komponenty Active Directory a řešili jsme fungování Kerberosu nad HTTP protokolem, takže bychom měli mít všechny znalosti pro nasazení libovolné aplikace, která podporuje Kerberos SSO vůči doméně. V dnešním posledním díle se stručně podíváme na konfiguraci aplikačního serveru a naznačíme si související implementaci SSO v jazyce PHP.

Podíváme se na autentizační protokol Kerberos. Hlavní zaměření je zablokování slabé a nebezpečné šifry RC4 a kompletní přechod na AES šifrování. Tomu se budeme věnovat v druhé části. V tomto článku projdeme fungování Kerberos protokolu, které je docela důležité znát pro provádění změn. Zaměříme se na šifrovací algoritmy a klíče, obecněji typy šifrování. Hlavní je, jak se volí použitý typ šifrování, tedy jestli se využije RC4 nebo AES. Mimo teoretických informací si ukážeme nějaké příkazy pro zjišťování údajů a nastavování parametrů pro šifrování. Na konci trochu rozebereme Microsoft aktualizaci 11/2022, která částečně mění chování a přináší nové možnosti. Při zveřejnění patrně obsahovala chybu, na kterou snad již nenarazíme.

V první části jsme se věnovali teorii fungování Kerberos protokolu a volbě typu šifrování. Dnes navážeme praktickými příklady. Jak detekovat tickety s RC4. Jak hledat účty, které nemají povolen AES nebo nemají vystaveny AES klíče. Jaké informace a chyby můžeme nalézt mezi událostmi v logu na doménovém řadiči. Kde mohou být problémy, pokud používáme Keytab soubory. Pro většinu věcí budeme využívat PowerShell. Na závěr si uvedeme jak vynutit použití AES a zablokovat RC4.