TRIỂN KHAI GIAO THỨC

KERBEROS
Giao thức an toàn mạng
Người hướng dẫn: TS Trần Thị Lượng

Sinh viên thực hiện: Nguyễn Văn Hải

Mã sinh viên: AT170415
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
KERBEROS
Mô hình mạng:

Server Client
OS: Windows Server 2012 OS: Windows 10
IP: 10.6.15.128 IP: 10.6.15.129
Domain Name:
hainguyenkma.com
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
KERBEROS
Cấu hình Server:
⮚ Thiết lập Domain :
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
KERBEROS
Cấu hình Server:
⮚ Cấu hình IP
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
KERBEROS
Cấu hình Client:
⮚ Cấu hình địa chỉ IP
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
KERBEROS
Kết nối giữa client – server Kết nối giữa server – client
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
KERBEROS
Cấu hình Client:
⮚ Thực hiện join domain
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
KERBEROS
Bắt gói tin liên quan đến Kerberos bằng wireshark
 TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
•KERBEROS
Gói tin AS
REQ(Authentication
Service Request) : Máy
khách (Windowns 10) gửi yêu
cầu xác thực đến máy chủ
Kerberos (KDC) bằng cách
gửi một gói tin AS_REQ chứa
tên người dùng (desktop-
l252kj1$) và tên máy chủ
(hainguyenkma.com)
• Điều này yêu cầu KDC cấp
một Ticket Granting Ticket
(TGT) để tiếp tục phiên làm
việc
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
•KERBEROS
Gói tin AS-REP (Authentication
Service Reply) : Sau khi nhận
được yêu cầu AS-REQ, máy chủ
xác thực (AS) sẽ kiểm tra thông
tin và phản hồi bằng gói tin AS-
REP.
• Gói tin này chứa TGT, được mã
hóa bằng khóa chia sẻ giữa máy
khách và AS. Máy khách sẽ sử
dụng TGT này để yêu cầu truy
cập vào các dịch vụ khác.
 TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
•KERBEROS
Gói tin TGS-REQ (Ticket
Granting Service Request)
Máy khách sử dụng TGT
trong AS-REP để yêu cầu một
Ticket Granting Service
(TGS) ticket từ máy chủ phân
phối dịch vụ (Ticket Granting
Server - TGS).
• Gói tin TGS-REQ chứa TGT
và yêu cầu truy cập tới một
dịch vụ cụ thể (service
principal).
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
•KERBEROS
Gói tin TGS-REP (Ticket
Granting Service Reply)
Máy chủ phân phối dịch vụ
(TGS) kiểm tra thông tin
trong TGT và phản hồi với
gói tin TGS-REP chứa TGS
ticket được mã hóa bằng
khóa chia sẻ giữa máy khách
và TGS.
• TGS ticket này sẽ được sử
dụng để yêu cầu truy cập
vào dịch vụ cụ thể (service
principal).
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
•KERBEROS
Sesion Setup Request :
Máy khách sử dụng TGS ticket
trong TGS-REP để yêu cầu truy
cập vào dịch vụ cụ thể (service
principal).
• Gói tin TGS-REQ chứa
TGS ticket và thông tin về
service principal.
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
•KERBEROS
Sesion Setup Response :
Server trả lời accept yêu cầu
dịch vụ
MIT KERBEROS

Mô hình mạng:

Server Client
OS: Ubuntu 22.04 OS: Ubuntu 22.04
IP: 10.6.15.50 IP: 10.6.15.133
Hostname: Hostname:
server.hainguyenkma.com client.hainguyenkma.com
MIT KERBEROS
Cấu hình server:
⮚Đặt địa chỉ IP:
MIT KERBEROS
Cấu hình server:
⮚Đặt host name
⮚Cấu hình file
/etc/hosts
MIT KERBEROS
Cấu hình server:
⮚Cấu hình lại file /etc/krb5.conf
MIT KERBEROS
Cấu hình server: Tạo Kerberos database
MIT KERBEROS
Cấu hình server:
⮚Khởi động lại các dịch vụ

⮚Thiết lập chế độ tự động

khởi động cho máy chủ
KDC
MIT KERBEROS
Cấu hình server:
⮚ Sửa file cấu hình /etc/krb5kdc/kadm5.acl để cấp quyền cho admin
⮚ Khởi động lại máy chủ quản trị KDC
MIT KERBEROS
Cấu hình server:
⮚ Tạo Kerberos admin:
MIT KERBEROS
Cấu hình server:
⮚Tạo tài khoản cho client
MIT KERBEROS
Cấu hình client:
⮚Đặt lại địa chỉ IP
MIT KERBEROS
Cấu hình client:
⮚Đặt host name

⮚Sửa file /etc/hosts

MIT KERBEROS
Cấu hình client:
⮚Sửa file cấu hình MIT Kerberos (krb5.conf)
MIT KERBEROS
Cấu hình client:
⮚ Kết nối tới MIT Kerberos server
MIT KERBEROS
Bắt các gói tin bằng Wireshark:
MIT KERBEROS
Bắt các gói tin bằng Wireshark:
Gói tin AS-REQ:
MIT KERBEROS
Bắt các gói tin bằng Wireshark:
Gói tin AS-REP:
MIT KERBEROS
Bắt các gói tin bằng Wireshark:
Gói tin Client gọi dịch vụ từ
server.
MIT KERBEROS
Bắt các gói tin bằng Wireshark:

Gói tin Server phản hồi

dịch vụ cho Client.