আইআইএসে এনটিএলএম এর পরিবর্তে কার্বেরোস ব্যবহার করবেন কেন?

এটি এমনটি যা আমি কখনই উত্তর দিতে পারি নি পাশাপাশি আমিও পছন্দ করি: এনটিএলএমের পরিবর্তে আইআইএস-এ কার্বেরোস প্রমাণীকরণ ব্যবহারের আসল সুবিধা কী?

আমি অনেক লোককে সত্যই এটি সেট আপ করার জন্য লড়াই করতে দেখেছি (নিজেকে অন্তর্ভুক্ত করা হয়েছে) এবং এটি ব্যবহারের জন্য আমি কোনও ভাল কারণ নিয়ে আসতে সক্ষম হইনি। যদিও বেশ কিছু তাৎপর্যপূর্ণ সুবিধাগুলি থাকতে হবে, অন্যথায় এটি সেট আপ করার জন্য সমস্ত সমস্যার উপযুক্ত হবে না, তাই না?

শুধুমাত্র একটি উইন্ডোজ দৃষ্টিকোণ থেকে:

করা NTLM

• সাথে কাজে উভয় বহিরাগত (অ-ডোমেন) এবং অভ্যন্তরীণ ক্লায়েন্ট
• আইআইএস বক্সে ডোমেন অ্যাকাউন্ট এবং স্থানীয় ব্যবহারকারীর অ্যাকাউন্ট উভয়ই নিয়ে কাজ করে
  • ডোমেন অ্যাকাউন্টগুলি ব্যবহার করে, কেবলমাত্র সার্ভারের জন্য কোনও ডোমেন নিয়ামক (ডিসি) এর সাথে সরাসরি সংযোগ প্রয়োজন
  • স্থানীয় অ্যাকাউন্টগুলি ব্যবহার করে আপনার কোথাও সংযোগের দরকার নেই :)
  • কোনও শংসাপত্র ব্যবহার করার জন্য আপনাকে প্রশ্নে থাকা ব্যবহারকারী হিসাবে লগ ইন করতে হবে না
  • একপাশে : এটা যে বিরল নয় একটি ডিসি করা NTLM অনুরোধের ভলিউম সঙ্গে একটি ব্যস্ত করা NTLM সার্ভার (আইআইএস, বিনিময়, TMG / ঈসা ইত্যাদি) দ্বারা আবিষ্ট করা (প্রশমিত: MaxConcurrentAPI, AuthPersistSingleRequest(মিথ্যা) ।, দ্রুত ডিসি) ( স্ব রেফারেনশিয়াল বোনাস ।)
• কেবলমাত্র আইআইএস সার্ভারের সাথে ক্লায়েন্ট সংযোগ প্রয়োজন (সাইটের পোর্টে, অন্য কিছুই নয় ie অর্থাত্ HTTP (বা HTTPS) এর মাধ্যমে সবকিছু ঘটে)
• যেকোন প্রক্সিকে সমর্থনকারী তর্ক করতে পারেন HTTP- র সক্রিয়-রাখুন গুলি
  • অন্যের আশেপাশে কাজ করার জন্য আপনি টিএলএস / এসএসএল ব্যবহার করতে সক্ষম হতে পারেন
• ছোট প্যাকেট সহ প্রমাণীকরণের জন্য একাধিক রাউন্ড-ট্রিপ দরকার
  • (লগ প্যাটার্নটি ব্যবহারকারীর নাম সহ 401.2, 401.1, 200 )
• এমন পরিস্থিতিতে এমন পরিস্থিতিতে ব্যবহার করা যাবে না যেখানে ডাবল-হপ প্রমাণীকরণ প্রয়োজন
  • অর্থাত্ ব্যবহারকারীর শংসাপত্রগুলি অন্য কম্পিউটারের একটি পরিষেবাদিতে ফরোয়ার্ড করতে হবে
• পুরানো ক্লায়েন্টদের সমর্থন করে (<Win2000)
• এলএম এথ লেভেলের তাত্পর্যগুলি (অমিল lmcompatibilitylevel) এর পক্ষে সংবেদনশীল
• যদি কার্ব ব্যর্থ হয় তবে নেগোসিট প্যাকেজটি ফ্যালব্যাক হিসাবে ব্যবহৃত হয়।
  • ( "যদি কার্বের সাথে অ্যাক্সেস অস্বীকার করা না হয় " নয় , এনটিএলএম ব্যবহারের জন্য কার্ব অবশ্যই ভেঙে ফেলতে হবে - সাধারণত এটি টিকিট না পাওয়ার মতো দেখায় the ক্লায়েন্ট যদি টিকিট পায় এবং এটি নিখুঁত না হয় তবে ফলব্যাক হয় না))

কার্বারোস

• সাথে কাজ করে বর্তমানে ডোমেইন-এ যোগদান করেছে ক্লায়েন্ট শুধুমাত্র
  • কোনও এডি ডিসির ক্লায়েন্ট সংযোগ প্রয়োজন (টিসিপি / ইউডিপি ৮৮) এবং সার্ভার (টিকিটগুলি ক্লাব দ্বারা ডিসি থেকে কার্ব পোর্টের মাধ্যমে উদ্ধার করা হয় এবং তারপরে এইচটিটিপি ব্যবহার করে সার্ভারে সরবরাহ করা হয়)

• কোনও প্রক্সি অনুগ্রহ করতে সক্ষম হতে পারে তবে উপরের ডিসি পয়েন্টটি দেখুন: সার্ভারের মতো আপনাকে এখনও সক্রিয় ডিসি হিসাবে একই নেটওয়ার্কে থাকা দরকার ।

  • সুতরাং তত্ত্ব হিসাবে যদি আপনার যদি এমন কোনও ডোমেন থাকে যাতে ইন্টারনেট-সংযুক্ত ক্লায়েন্টরা সরাসরি ইন্টারনেট-সংযুক্ত ডিসির সাথে চ্যাট করে, তবে এটি কার্যক্ষম। কিন্তু তা করতে না যদি না আপনি ইতিমধ্যে যে জানত।
  • বিপরীত প্রক্সি পরিস্থিতিতে (আইএসএ / টিএমজি), প্রোটোকল ট্রানজিশন সার্ভারটি সেই নেটওয়ার্কে থাকা দরকার, অর্থাৎ ক্লায়েন্টের নয় ... তবে ক্লায়েন্ট সত্যিকারের কার্বেরোস বিট করছেন না (অগত্যা - ভাবেন ফর্ম লেখককে কার্বনে ট্রানজিশন)।

• টিকিট দীর্ঘকালীন (10 ঘন্টা) যার অর্থ টিকিট জীবদ্দশায় কম ডিসি যোগাযোগ - এবং জোর দেওয়া: এটি সেই জীবনকালে প্রতি ক্লায়েন্টের কয়েক হাজার থেকে কয়েক মিলিয়ন অনুরোধ বাঁচাতে পারে - ( এখনও একটি জিনিস; কার্বারোস পিএসি বৈধতা ব্যবহৃত হত)AuthPersistNonNTLM

• প্রমাণীকরণের জন্য একক রাউন্ড-ট্রিপ দরকার , তবে প্রমাণীকরণের পেডলোডের আকার তুলনামূলকভাবে বড় (সাধারণত 6-16 কে) ( 401 , {( এনকোডযুক্ত ) টোকেন আকার} 200 )
• পরবর্তী পরিষেবাতে সংযোগকারী ব্যবহারকারীর উইন্ডোজ প্রমাণীকরণ সক্ষম করতে (দয়া করে, সর্বদা বাধ্য ) প্রতিনিধিদের সাথে ব্যবহার করা যেতে পারে
  • উদাহরণস্বরূপ, UserAআইআইএস অ্যাক্সেস করার অনুমতি দিতে এবং আইআইএস এসকিউএল সার্ভার অ্যাক্সেস করলে একই ব্যবহারকারী অ্যাকাউন্টটি ব্যবহার করে, এটি "প্রমাণীকরণের প্রতিনিধি"।
  • ( এই প্রসঙ্গে সীমাবদ্ধ মানে "" তবে অন্য কিছু নয় ", যেমন এক্সচেঞ্জ বা অন্য এসকিউএল বাক্স)
• আলোচ্য প্রমাণীকরণের জন্য বর্তমানে প্রাথমিক সুরক্ষা প্যাকেজ
  • মানে উইন্ডোজ ডোমেনের সদস্যরা যখন এটি পাবেন তখন এটি পছন্দ করেন
• এসপিএনগুলির নিবন্ধকরণ প্রয়োজন , যা জটিল হতে পারে। নিয়ম যা সাহায্য করে ।
• লক্ষ্য হিসাবে একটি নাম ব্যবহার করা প্রয়োজন , কোনও আইপি ঠিকানা নয়
• কার্ব ব্যর্থ হতে পারে:
  • নামের পরিবর্তে একটি আইপি ঠিকানা ব্যবহার করা
  • কোনও এসপিএন নিবন্ধিত নেই
  • নকল এসপিএন নিবন্ধিত
  • এসপিএন ভুল অ্যাকাউন্টের বিরুদ্ধে নিবন্ধিত হয়েছে ( KRB_ERR_AP_MODIFIED)
  • কোনও ক্লায়েন্ট ডিএনএস / ডিসি সংযোগ নেই
  • ক্লায়েন্ট প্রক্সি সেটিং / স্থানীয় ইন্ট্রানেট অঞ্চল লক্ষ্য সাইটের জন্য ব্যবহৃত হয় না

যখন আমরা এতে আছি:

মৌলিক

• মাল্টি-হপ করতে পারে তবে লক্ষ্যমাত্রার ওয়েব অ্যাপ্লিকেশনে সরাসরি আপনার ব্যবহারকারীর নাম এবং পাসওয়ার্ড উন্মুক্ত করে তা করে
  • যা তাদের সাথে এটি যা করতে পারে তা করতে পারে। কিছু ।
  • "ওহ, একটি ডোমেন প্রশাসন কি কেবল আমার অ্যাপ্লিকেশন ব্যবহার করেছে? এবং আমি কি কেবল তাদের ইমেলটি পড়েছি? তারপরে তাদের পাসওয়ার্ডটি পুনরায় সেট করুন? আউজ। করুণা "
• যে কোনও ধরণের সুরক্ষার জন্য পরিবহন স্তর সুরক্ষা (যেমন টিএলএস / এসএসএল) প্রয়োজন।
  • এবং তারপরে, পূর্ববর্তী সংখ্যাটি দেখুন
• যে কোনও ব্রাউজারের সাথে কাজ করে
  • (তবে প্রথম সংখ্যা দেখুন )
• প্রমাণীকরণের জন্য একক রাউন্ড-ট্রিপ দরকার ( 401 , 200 )
• মাল্টি-হপ পরিস্থিতিতে ব্যবহার করা যেতে পারে কারণ উইন্ডোজ মৌলিক শংসাপত্রগুলির সাথে একটি ইন্টারেক্টিভ লগন সম্পাদন করতে পারে
  • এটি LogonTypeসম্পাদন করার জন্য কনফিগার করা দরকার হতে পারে (2000 এবং 2003 এর মধ্যে নেটওয়ার্ক ডিফার্টেক্সে ডিফল্টটি পরিবর্তিত হয়েছে বলে মনে করেন) তবে এটি দুর্ঘটনার হতে পারে)
  • কিন্তু আবার , প্রথম সংখ্যা দেখুন ।
  • ছাপ পথ যে প্রথম সংখ্যাটি সত্যিই সত্যিই গুরুত্বপূর্ণ? এটাই.

সংক্ষেপে:

কার্ব সেট আপ করা কঠিন হতে পারে, তবে সেখানে প্রচুর গাইড ( আমার একজন ) রয়েছে যা প্রক্রিয়াটি সহজ করার চেষ্টা করে এবং ২০০৩ থেকে ২০০৮ পর্যন্ত সরঞ্জামগুলি ব্যাপকভাবে উন্নত হয়েছে ( SetSPNডুপ্লিকেটগুলি অনুসন্ধান করতে পারে, যা সবচেয়ে সাধারণ ব্রেকিং সমস্যা) ; যেSETSPN -S কোনও সময় আপনি -A ব্যবহারের জন্য গাইডেন্স দেখতে পান এবং জীবন আরও সুখী হবে)।

সীমাবদ্ধ প্রতিনিধিদল প্রবেশের জন্য মূল্যবান।

• এনটিএলএম এর চেয়ে দ্রুত এবং আরও সুরক্ষিত প্রমাণীকরণ প্রক্রিয়া হওয়ার খ্যাতি কার্বেরোসের রয়েছে।
• এনটিএলএমের সংযোগ-ভিত্তিক প্রকৃতির কারণে এটি এনটিএলএমের চেয়ে প্রক্সি সার্ভারের মাধ্যমে সংযোগ করাও historতিহাসিকভাবে সহজ হয়েছে।
• এটি বলেছিল, যেমন আপনি লক্ষ্য করেছেন যে, কার্বেরোস উঠে আসা এবং চালানো আরও বেশি কঠিন এবং এডি এর সাথে একটি সংযোগ প্রয়োজন যা সর্বদা ব্যবহারিক নয়।

আরেকটি পদ্ধতির মধ্যে প্রমাণীকরণ সেট করা negotiateএবং একে অপরের পরিবর্তে দুটি ব্যবহার করা হবে।

থেকে মাইক্রোসফট অ্যাপ্লিকেশন সত্যনিরূপক , যা সাধারণ ডেভেলপার ভুল সনাক্ত করে। এই ভুলগুলির মধ্যে একটি হ'ল এনটিএলএম এর ব্যবহার :

এনটিএলএম হ'ল ত্রুটিযুক্ত একটি পুরানো প্রমাণীকরণ প্রোটোকল যা সম্ভাব্যভাবে অ্যাপ্লিকেশন এবং অপারেটিং সিস্টেমের সুরক্ষার সাথে আপস করে। সর্বাধিক গুরুত্বপূর্ণ সমস্যাটি হ'ল সার্ভার প্রমাণীকরণের অভাব, যা কোনও আক্রমণকারীকে ব্যবহারকারীদের একটি স্পুফ সার্ভারের সাথে সংযোগ স্থাপনের জন্য প্ররোচিত করতে পারে। অনুপস্থিত সার্ভারের প্রমাণীকরণের মূল হিসাবে, এনটিএলএম ব্যবহার করে অ্যাপ্লিকেশনগুলি "প্রতিবিম্ব" আক্রমণ হিসাবে পরিচিত এক ধরণের আক্রমণেও ঝুঁকিপূর্ণ হতে পারে। এই পরবর্তী কোনও আক্রমণকারীকে কোনও বৈধ সার্ভারে ব্যবহারকারীর প্রমাণীকরণ কথোপকথন হাইজ্যাক করতে এবং ব্যবহারকারীর কম্পিউটারে আক্রমণকারীকে প্রমাণীকরণ করতে এটি ব্যবহার করতে দেয়। এনটিএলএমের দুর্বলতা এবং সেগুলি কাজে লাগানোর উপায়গুলি সুরক্ষা সম্প্রদায়ের গবেষণা ক্রিয়াকলাপ বাড়ানোর লক্ষ্য।

যদিও কার্বেরোস বহু বছর ধরে উপলভ্য ছিল তবে কেবলমাত্র এনটিএলএম ব্যবহারের জন্য অনেক অ্যাপ্লিকেশন লেখা রয়েছে। এটি অযথা অ্যাপ্লিকেশনগুলির সুরক্ষা হ্রাস করে। তবে কার্বেরোস সব পরিস্থিতিতে এনটিএলএম প্রতিস্থাপন করতে পারে না - মূলত এমন কোনও ক্ষেত্রে যেখানে ক্লায়েন্টকে এমন একটি সিস্টেমে অনুমোদনের প্রয়োজন হয় যা ডোমেনে যোগ না দেওয়া (একটি হোম নেটওয়ার্ক সম্ভবত এর মধ্যে সবচেয়ে সাধারণ)। নেগোসিয়েট সুরক্ষা প্যাকেজটি পিছনের দিকে সামঞ্জস্যপূর্ণ মীমাংসার অনুমতি দেয় যা কারবারোস যখনই সম্ভব ব্যবহার করে এবং যখন অন্য কোনও বিকল্প নেই তখন কেবল এনটিএলএম-এ ফিরে আসে। এনটিএলএম এর পরিবর্তে নেগোসিয়েট ব্যবহারের জন্য কোড স্যুইচ করা আমাদের গ্রাহকদের জন্য কিছু বা কোনও অ্যাপ্লিকেশনের সামঞ্জস্যতা প্রবর্তনের সময় সুরক্ষাকে উল্লেখযোগ্যভাবে বাড়িয়ে তুলবে। নিজে থেকে আলোচনা করা কোনও রূপালী বুলেট নয় - এমন ঘটনাও রয়েছে যে কোনও আক্রমণকারী এনটিএলএম-এ ডাউনগ্রেডকে বাধ্য করতে পারে তবে সেগুলি শোষণে উল্লেখযোগ্যভাবে আরও কঠিন। তবে, একটি তাত্ক্ষণিক উন্নতি হ'ল নেগোসিটকে সঠিকভাবে ব্যবহার করতে লেখা অ্যাপ্লিকেশনগুলি স্বয়ংক্রিয়ভাবে এনটিএলএম প্রতিবিম্ব আক্রমণগুলিতে প্রতিরোধক।

এনটিএলএম ব্যবহারের বিরুদ্ধে চূড়ান্ত সতর্কতার সাথে: উইন্ডোজের ভবিষ্যতের সংস্করণগুলিতে অপারেটিং সিস্টেমে এনটিএলএম ব্যবহার নিষ্ক্রিয় করা সম্ভব হবে। অ্যাপ্লিকেশনগুলির যদি এনটিএলএমের উপর নির্ভরশীলতা থাকে তবে এনটিএলএম অক্ষম হয়ে গেলে তারা কেবল প্রমাণীকরণে ব্যর্থ হয়।

আপনার একটি খুব গুরুত্বপূর্ণ পয়েন্ট যুক্ত করা উচিত:

কার্বেরোস 20 বছর ধরে ইউনিক্সে স্ট্যান্ডার্ড এবং ওপেন প্রোটোকল হয়েছে যেখানে এনটিএলএম মাইক্রোসফ্টের থেকে সম্পূর্ণরূপে মালিকানাধীন সমাধান এবং কেবল মাইক্রোসফ্টের কাছে পরিচিত।

আইআইএস সার্ভারে নেই এমন সংস্থানগুলি অ্যাক্সেস করার জন্য যদি আপনার ব্যবহারকারীর ছদ্মবেশ তৈরি করতে হয় তবে কার্বেরোস প্রয়োজন।