域的登錄模式和過程
從域的登錄模式可從幫助理解為何域能對域中的電腦進行有效的管理。
“域賬號登錄”屬於“交互式登錄”(即用戶通過相應的用戶賬號和密碼進行登錄,區別 於“本地登錄”)的一種。采用域用戶賬號登錄計算機,系統通過存儲在域控制器活動目錄中 的數據進彳T驗證。如果該用戶賬號有效,則登錄後可以訪問到整個域中其有權訪問的資源。
交互式登錄,系統需要以下組件。
·winlogon.exe: “交互式登錄”時最重要的組件,它是一個安全進程。
·GINA:即圖形化識別和驗證。
·LSA服務:本地安全授權。
·SAM數據庫:SAM的全稱為“Security Account Manager”——安全賬號管理器。可以把SAM看成一個賬號數據庫。
·NetLogon服務:和NTLM( NT LAN Manager)協同使用。
·KDC服務:密鑰發布中心服務。
·Active Directory服務:計算機加入到域中,需啟動該服務。
登錄到域的過程如下。
步驟1:用戶首先按【CtrI+Alt+Delete】組合鍵。
步驟2:winlogon檢測到用戶按下【SAS]鍵(默認為【CtrI+Alt+Delete】組合鍵),就調 用GINA,由GINA顯示登錄對話框, 以便用戶輸入賬號和密碼。
步驟3:用戶選擇所要登錄的域並填寫賬號鳥密碼,確定後,GINA將用戶輸入的信息發 送給LSA進行驗證。
步驟4:在用戶登錄到本機的情況下,LSA將請求發送給Kerberos驗證程序包。通過散 列算法,根據用戶信息生成一個密鑰,並將密鑰存儲在證書緩存區中。
步驟5:Kerberos驗證程序向KDC(Key Distribution CenteI-密鑰分配中心)發送一個 包含用戶身份信息和驗證預處理數據的驗證服務請求,其中包含用戶證書和散列算法加密時 間的標記。
步驟6:KDC接收到數據後,利用自己的密鑰對請求中的時間標記進行解密,通過解密 的時間標記判斷用戶是否有效。
步驟7:如果用戶有效,KDC將向用戶發送一個TGT(Ticket-Granting Ticket-票據授 予票據)。該TGT( AS REP)將用戶的密 鑰進行解密,其中包含會話密鑰、該會話密鑰指向 的用戶名稱、該票據的最長生命期及其他一些可能需要的數據和設置等。用戶所申請的票據 在KDC的密鑰中被加密,並附著在AS REP中。在TGT的授權數據部分包含用戶賬號的SID 及該用戶所屬的全局組和通用組的SIDo注意,返回到LSA的SID包含用戶的訪問令牌。票 據的最長生命期是由域策略決定的。如果票據在活動的會話中超過期限,用戶就必須申請新 的票據。
步驟8:當用戶試圖訪問資源時,客戶系統使用TGT從域控制器上的Kerberos TGS請求 服務票據( TGS_REQ)。然後TGS將服務票據(TGS REP)發送給客戶。該服務票據是使用 服務器的密鑰進行加密的。同時,SID被Kerberos服務從TGT復制到所有的Kerberos服務包 含的子序列服務票據中。
步驟9:客戶將票據直接提交到需要訪問的網絡服務上,通過服務票據就能證明用戶的 身份和其擁有的權限。
從域的登錄過程可見域管理的嚴密性。