Professional Documents
Culture Documents
KERBEROS
Giao thức an toàn mạng
Người hướng dẫn: TS Trần Thị Lượng
Server Client
OS: Windows Server 2012 OS: Windows 10
IP: 10.6.15.128 IP: 10.6.15.129
Domain Name:
hainguyenkma.com
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
KERBEROS
Cấu hình Server:
⮚ Thiết lập Domain :
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
KERBEROS
Cấu hình Server:
⮚ Cấu hình IP
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
KERBEROS
Cấu hình Client:
⮚ Cấu hình địa chỉ IP
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
KERBEROS
Kết nối giữa client – server Kết nối giữa server – client
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
KERBEROS
Cấu hình Client:
⮚ Thực hiện join domain
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
KERBEROS
Bắt gói tin liên quan đến Kerberos bằng wireshark
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
•KERBEROS
Gói tin AS
REQ(Authentication
Service Request) : Máy
khách (Windowns 10) gửi yêu
cầu xác thực đến máy chủ
Kerberos (KDC) bằng cách
gửi một gói tin AS_REQ chứa
tên người dùng (desktop-
l252kj1$) và tên máy chủ
(hainguyenkma.com)
• Điều này yêu cầu KDC cấp
một Ticket Granting Ticket
(TGT) để tiếp tục phiên làm
việc
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
•KERBEROS
Gói tin AS-REP (Authentication
Service Reply) : Sau khi nhận
được yêu cầu AS-REQ, máy chủ
xác thực (AS) sẽ kiểm tra thông
tin và phản hồi bằng gói tin AS-
REP.
• Gói tin này chứa TGT, được mã
hóa bằng khóa chia sẻ giữa máy
khách và AS. Máy khách sẽ sử
dụng TGT này để yêu cầu truy
cập vào các dịch vụ khác.
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
•KERBEROS
Gói tin TGS-REQ (Ticket
Granting Service Request)
Máy khách sử dụng TGT
trong AS-REP để yêu cầu một
Ticket Granting Service
(TGS) ticket từ máy chủ phân
phối dịch vụ (Ticket Granting
Server - TGS).
• Gói tin TGS-REQ chứa TGT
và yêu cầu truy cập tới một
dịch vụ cụ thể (service
principal).
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
•KERBEROS
Gói tin TGS-REP (Ticket
Granting Service Reply)
Máy chủ phân phối dịch vụ
(TGS) kiểm tra thông tin
trong TGT và phản hồi với
gói tin TGS-REP chứa TGS
ticket được mã hóa bằng
khóa chia sẻ giữa máy khách
và TGS.
• TGS ticket này sẽ được sử
dụng để yêu cầu truy cập
vào dịch vụ cụ thể (service
principal).
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
•KERBEROS
Sesion Setup Request :
Máy khách sử dụng TGS ticket
trong TGS-REP để yêu cầu truy
cập vào dịch vụ cụ thể (service
principal).
• Gói tin TGS-REQ chứa
TGS ticket và thông tin về
service principal.
TRIỂN KHAI HỆ THỐNG SỬ DỤNG XÁC THỰC
•KERBEROS
Sesion Setup Response :
Server trả lời accept yêu cầu
dịch vụ
MIT KERBEROS
Mô hình mạng:
Server Client
OS: Ubuntu 22.04 OS: Ubuntu 22.04
IP: 10.6.15.50 IP: 10.6.15.133
Hostname: Hostname:
server.hainguyenkma.com client.hainguyenkma.com
MIT KERBEROS
Cấu hình server:
⮚Đặt địa chỉ IP:
MIT KERBEROS
Cấu hình server:
⮚Đặt host name
⮚Cấu hình file
/etc/hosts
MIT KERBEROS
Cấu hình server:
⮚Cấu hình lại file /etc/krb5.conf
MIT KERBEROS
Cấu hình server: Tạo Kerberos database
MIT KERBEROS
Cấu hình server:
⮚Khởi động lại các dịch vụ