Cosa contiene un ticket Kerberos TGT?

Naviga le tue risposte
2

Vorrei sapere che cosa costituisce un biglietto TGT? Il motivo è che abbiamo notato più gruppi di annunci di Windows in cui è presente l'account, maggiori sono le dimensioni del ticket. Abbiamo anche notato che quando cancelliamo i cookie di Internet Explorer, le dimensioni del ticket diminuiscono (anche se leggermente).

Breve esempio: se l'account si trova in 543 gruppi di annunci, la dimensione del ticket è 12.960. Abbiamo trovato che il rapporto approssimativo è 21,7.

Quindi, 543 x 21,7 ~ 13 K come dimensioni del biglietto.

A causa di questi comportamenti, ho iniziato a chiedermi cosa c'è veramente dentro il ticket? Il mio obiettivo: aiutare a identificare il criminale più grande che sta causando un aumento del ticket TGT rispetto alla dimensione massima del ticket limite impostata nel nostro server Apache.

Qualsiasi aiuto sarebbe apprezzato.

Grazie

    
posta Jose Leon 17.05.2013 - 04:04
fonte

2 risposte

3

Kerberos è essenzialmente solo per l'autenticazione, non per l'autorizzazione; tuttavia la struttura dei dati del ticket ha un campo per le informazioni di autorizzazione, nel caso in cui un implementatore desideri codificare tali informazioni in una credenziale. Le implementazioni Unix di Kerberos hanno in gran parte lasciato questo campo inutilizzato, ma Microsoft ha scelto di utilizzarlo e incorpora un "certificato di attributo di privilegio" (PAC) in ticket che contiene informazioni di sicurezza sull'account AD a cui corrisponde il principal Kerberos del client: gruppo appartenenze ecc. Questo non vale solo nel TGT, ma in ogni biglietto emesso da AD. Il vantaggio di questo è che i server che ricevono questi ticket conoscono immediatamente questi attributi utente in maniera affidabile e non devono quindi interrogare AD separatamente per scoprirli. Un lato negativo è che se cambiano le cose come le appartenenze ai gruppi, un utente deve ottenere un nuovo ticket affinché questo venga riflesso (e di solito viene detto di "disconnettersi e riconnettersi" per ottenerlo). E, naturalmente, se rimuovi qualcuno da un gruppo, questo non è pienamente efficace finché tutti i ticket dell'utente non sono scaduti.

My goal: To help identify the biggest offender that's causing the TGT ticket to be larger than the max limit ticket size set in our Apache server.

Apache non ha una "dimensione massima del ticket". L'autenticazione Kerberos avviene nelle intestazioni HTTP scambiate dal client e dal server, e il ticket del servizio è codificato in esse e quindi aumenta man mano che aumenta il conteggio delle appartenenze ai gruppi di un utente. Apache ha un limite di dimensioni predefinito per le intestazioni che è basso rispetto alle possibili dimensioni dei ticket AD (8K). Puoi semplicemente aumentarlo con la direttiva% co_de di Apache.

    
risposta data 05.03.2014 - 06:22
fonte
1

Un ticket Kerberos contiene informazioni come l'appartenenza al gruppo e le informazioni sulla cronologia SID nell'intestazione della richiesta. Quindi se il tuo utente ha problemi è in troppi gruppi. L'unico modo per risolvere questo problema è ridurre l'appartenenza al gruppo e forse rimuovere la cronologia SID dagli attributi utente e gruppo. Ciò probabilmente aumenterà anche la velocità di accesso per altri servizi come Exchange, ad esempio.

    
risposta data 17.05.2013 - 08:09
fonte

Leggi altre domande sui tag

In seguito ai reindirizzamenti da HTTPS a HTTP - Sicuro? L'utilizzo di Websockets causerebbe un errore di conformità PCI?