Un keytab è sufficiente per l'accesso?

2

Il possesso di un file Kerberos .keytab (come generato ad esempio da ktpass ) è sufficiente 'fingere di essere' quell'utente su una macchina Windows? Ad esempio, creare un processo come o accedere alle risorse di rete (ad esempio una condivisione) come tale utente?

Se sì, ci sono strumenti che possono dimostrarlo?

FWIW - Sono stato in grado di dimostrare che il possesso di un file .keytab per l'utente X:

  1. è sufficiente per un client per autenticarsi come utente X su un servizio Web SPNEGO.
  2. sembra essere sufficiente per che il servizio Web SPNEGO impersonifichi l'utente X (si verifica un accesso locale) ma con limitazioni (ad esempio rappresentazione, non delegazione ) privilegi. Posso andare oltre e delegare effettivamente?
posta bacar 09.12.2015 - 15:45
fonte

1 risposta

2

Un file keytab Kerberos equivale approssimativamente a una versione salvata della password pertinente. Contiene la chiave segreta condivisa del servizio.

Pertanto, qualcuno con accesso a un file keytab può eseguire il kinit da esso e ottenere i ticket Kerberos dell'utente (o servizio) correlato, proprio come se avessero la password dell'utente.

Non sono abbastanza esperto di Windows per sapere come dimostrarlo su Windows. Su Unix, dovresti usare qualcosa come kinit -k -t keytab_file principal_name .

    
risposta data 07.11.2016 - 16:30
fonte

Leggi altre domande sui tag