Adfs provider di credenziali saml

Naviga le tue risposte
2

Volevo vedere se il seguente è fattibile o esiste una via d'uscita?

  1. La mia situazione, i computer hanno sempre accesso a Internet (assunzione)
  2. Voglio scrivere un provider di credenziali con un embed del browser e parlare con un idp shl saml esterno
  3. Dopo che il token saml è stato rilasciato da shp Idp, voglio inviarlo ad AD
  4. Ecco dove mi trovo in un dilemma: è possibile rilasciare SID e altre informazioni al fornitore di credenziali per aprire le finestre del desktop (ad esempio nel login tradizionale della password Userid inviata ad AD tramite il login di Windows)? Se sì, quale versione e quali modifiche di configurazione devo apportare?

Qualunque documentazione puoi indicarmi?

Apprezza gli input dalla tua parte finale

    
posta tech_geek 23.11.2016 - 10:42
fonte

1 risposta

1

No, non proprio. O sorta, immagino, ma non è utilizzabile.

Puoi falsificarlo creando un token locale, che alla fine creerà una sessione e raggiungerà il desktop, ma sarai paralizzato perché Windows non ha un ticket AD. Pertanto, non è possibile raggiungere alcunché nel dominio e qualsiasi operazione che richieda l'autenticazione Kerberos o NTLM avrà esito negativo in modo spettacolare.

Inoltre, non è possibile ottenere un ticket (in modo sicuro - comunque) da AD per un utente, e non è possibile crearne uno, senza effettivamente autenticarsi con AD. Il token SAML emesso non ha alcuna relazione con il ticket, quindi AD non saprebbe cosa fare con esso.

Una cosa che potresti considerare è la creazione di un pacchetto SSPI sia sul client che su DC, che scambierà un token SAML per un ticket Kerberos, in virtù del fatto che AD ha le autorizzazioni necessarie per fare tutto ciò che vuole. Il problema è che tutti hanno bisogno del pacchetto e tutti devono capire come utilizzare il pacchetto.

Inoltre, aprire una sessione del browser nel contesto di Credential Provider è decisamente spaventoso perché vengono eseguiti come SYSTEM.

    
risposta data 23.11.2016 - 19:10
fonte

Leggi altre domande sui tag

Utilizzo di LDAP per l'autenticazione dell'applicazione Pentesting: il miglior bang per il tuo dollaro? (credenziali vs non credenziali)