ডোমেনে নেই ওয়ার্কস্টেশনগুলির জন্য কার্বেরোস প্রমাণীকরণ

সক্রিয় ডিরেক্টরি পরিবেশে কার্বেরোস কীভাবে কাজ করে এবং নেটওয়ার্ক এবং ব্যবহারকারীদের ও ওয়ার্কস্টেশনগুলিকে অনুমোদনের জন্য যে পদ্ধতিগুলি ব্যবহার করে সে সম্পর্কে আমার একটি বেসিক ধারণা রয়েছে তবে আমার প্রশ্নটি হ'ল যেহেতু কার্বেরোস সুরক্ষা টোকেন জারির উপর নির্ভর করে যা শেষ ব্যবহারকারী অ্যাক্সেসের জন্য ব্যবহার করে নেটওয়ার্ক সংস্থানগুলি, কীভাবে ডোমেনে থাকা সিস্টেমগুলি (ল্যাপটপগুলি) সক্রিয় ডিরেক্টরি ব্যবহারকারীর কেবল ব্যবহারকারীর নাম এবং পাসওয়ার্ড ব্যবহার করে একই নেটওয়ার্ক সংস্থান অ্যাক্সেস করতে সক্ষম নয়?

আমি অনুমান করি যে এটি যদি কেবল ব্যবহারকারীর শংসাপত্রগুলি ব্যবহার করে, কার্বেরোস একটি সুরক্ষা টোকেন উত্পন্ন করে এবং এটি সিস্টেমে জারি করে তবে এটি মনে হয় যে কোনও ননডোমাইন সিস্টেমকে নেটওয়ার্ক সংস্থান অ্যাক্সেস করা থেকে বিরত করার জন্য আরও সুরক্ষা থাকা উচিত।

যদি কেউ আমাকে আলোকিত করতে পারে তবে আমি এটির প্রশংসা করব!

এনটিএলএম এই ক্ষেত্রে ব্যবহৃত হয় ...

http://msdn.microsoft.com/en-us/library/windows/desktop/aa378749(v=vs.85).aspx

http://en.wikipedia.org/wiki/NTLM

কীভাবে ডোমেনে থাকা সিস্টেমগুলি (ল্যাপটপগুলি) সক্রিয় ডিরেক্টরি ব্যবহারকারীর কেবলমাত্র ব্যবহারকারীর নাম এবং পাসওয়ার্ড ব্যবহার করে একই নেটওয়ার্ক সংস্থান অ্যাক্সেস করতে সক্ষম নয়?

এটি "নেটওয়ার্ক সংস্থানগুলি" জড়িত তার উপর নির্ভর করে। কোনও ডোমেন-যুক্ত উইন্ডোজ কম্পিউটারে আপনি লগ ইন করেছেন, সেখানে কমপক্ষে দুটি ক্লায়েন্ট কারবারোস পরিচয় খেলায় রয়েছে:

• আপনি, ব্যবহারকারী @ DOMAIN
• কম্পিউটার, ওয়ার্কস্টেশন DOMAIN @ DOMAIN

হোস্ট / ওয়ার্কস্টেশন @ ওএমএলও রয়েছে, তবে এটি সাধারণত অন্য কোথাও থেকে অ্যাক্সেস করা হোস্টে চলমান কোনও পরিষেবার শনাক্তকরণ। হোস্টের কোনও সুবিধাযুক্ত প্রক্রিয়া যদি কিছু করতে চায় - বলুন, কার্বেরোস-প্রমাণীকরণকৃত ডায়নামিক ডিএনএস ব্যবহার করে এর নাম ডিএনএসে যুক্ত করুন - এটি এটির জন্য তার পরিচয় ব্যবহার করবে, ওয়ার্কস্টেশন DOMAIN @ DOMAIN DOMAIN আপনার লগইন সেশনে আপনি যদি কিছু সংস্থান নিজেই অ্যাক্সেস করেন তবে - কোনও সিআইএফএস নেটওয়ার্ক ভাগ বা একটি সত্যায়িত এইচটিটিপি ইউআরএল বলুন - তবে ক্লায়েন্ট পরিচয়টি আপনার প্রধান নাম, ব্যবহারকারীর @ DOMAIN (শংসাপত্রগুলির জন্য যা আপনাকে ব্যবহার করার জন্য স্বয়ংক্রিয়ভাবে অর্জিত হয়) আপনি লগ ইন করতে প্রবেশ করা পাসওয়ার্ড)। আপনার প্রশ্ন থেকে, আপনি মনে করছেন যে কিছু সংমিশ্রণ জড়িত; এটা না, তারা পৃথক।

এ কারণেই অন্যান্য প্ল্যাটফর্মগুলি থেকে উইন্ডোজ-ভিত্তিক সংস্থানগুলি অ্যাক্সেস করতে কারবারোস ব্যবহার করতে কোনও সমস্যা নেই। আপনি একটি লিনাক্স বাক্সে ঠিক "কিনিত ব্যবহারকারী" টাইপ করতে পারেন, একটি ডোমেন নিয়ামকের কাছ থেকে কার্বেরোস শংসাপত্র (টিজিটি) পেতে আপনার পাসওয়ার্ড লিখুন এবং তারপরে আইআইএস-এর একটি কার্বেরোস-অনুমোদিত ওয়েবসাইটটি অ্যাক্সেস করতে ফায়ারফক্স ব্যবহার করুন। এই সমস্তগুলির জন্য প্রোটোকলগুলি স্ট্যান্ডার্ড এবং আপনার ব্যবহারকারীর শংসাপত্র ব্যতীত আপনার কোনও প্রয়োজন নেই।

পূর্বের উত্তরে দাবি করা হয়েছিল যে এনটিএলএম এ ক্ষেত্রে প্রয়োজনীয়; এটি মিথ্যা (যদিও এটি অবশ্যই ব্যবহৃত হতে পারে)। যাইহোক, আপনি যখন কোনও ডোমেনবিহীন কম্পিউটার থেকে কিছু সংস্থান অ্যাক্সেস করেন এবং আপনার ব্যবহারকারীর নাম এবং পাসওয়ার্ডের জন্য অনুরোধ জানানো হয়, আপনি অগত্যা কোন প্রমাণীকরণ পদ্ধতিটি ব্যবহৃত হচ্ছে তা আপনি অগত্যা জানেন না। এটি কার্বেরোস ব্যবহার করতে পারে। এটি কেবলমাত্র একটি পাসওয়ার্ড-ভিত্তিক ব্যবস্থায় ফিরে যেতে পারে যার মাধ্যমে এটি আপনার ব্যবহারকারীর নাম এবং পাসওয়ার্ডটি যাচাইয়ের জন্য সার্ভারে প্রেরণ করে এবং তারপরে আপনার পাসওয়ার্ডটি ক্যাশে করে যাতে আপনাকে আবার প্রবেশ করতে না হয়। অনেকগুলি প্রোটোকল এসএএসএল এর মতো বিমূর্ততা স্কিমের মাধ্যমে উভয়কেই অনুমতি দেয়। কী চলছে তা দেখার জন্য আপনাকে তারের দিকে তাকাতে হবে।

উইন্ডোজ 7/১০ (সম্ভবত অন্যরা) ক্লায়েন্টের কার্বেরোস ব্যবহার করে সাম্বা সার্ভারে কীভাবে অনুমোদন দেওয়া যায় তার জন্য নীচের নির্দেশাবলী are আমি ক্লায়েন্ট এবং সার্ভারের অন্যান্য সংস্করণের জন্য পরীক্ষা করিনি:

উইন্ডোজ ক্লায়েন্টে, "প্রশাসক হিসাবে চালান" সেমিডি.এক্সে। তারপরে কার্বেরোস REALM.COM- এর জন্য কার্বেরোস ডোমেন নিয়ামক (কেডিসি) এর জ্ঞান সহ উইন্ডোজ সরবরাহ করার জন্য এই কমান্ডটি প্রবেশ করুন।

যদি কেডিসি ডিএনএসে থাকে:

ksetup /addkdc REALM.COM

অন্যথায়:

ksetup /addkdc REALM.COM kdc01.realm.com

(রিয়েল রিয়েলএম.কমের জন্য আরও কেডিসি প্রবেশ করুন যদি সেগুলির উপস্থিত থাকে Also এছাড়াও, উভয় স্টাইলের সাথে অন্য রাজ্য যুক্ত করতে পারেন))

তারপরে আগ্রহের নেটওয়ার্ক অংশটি অ্যাক্সেস করতে এক্সপ্লোরার ব্যবহার করুন। (যেমন \\samba.realm.com\shareঠিকানা বারে)) ভাগ সুরক্ষিত থাকলে একটি পাসওয়ার্ড প্রম্পট খোলে।

আপনার ব্যবহারকারীর নামতে আপনাকে ক্ষেত্রটি নির্দিষ্ট করতে হবে। এটি হয় user@REALM.COMবা মত কাজ করা যেতে পারে REALM.COM\user।

তারপরে পাসওয়ার্ড লিখুন।

আমি কমপক্ষে একটি সিস্টেম জানি যা করবারোস ব্যবহার করতে পারে যা ডোমেন ওয়ার্কস্টেশনগুলি থেকে কাজ করে। এই অ্যাপ্লিকেশনটির নাম "এসএপি নেটওয়েভার পোর্টাল"। ওয়ার্কস্টেশন এবং যোগাযোগের জন্য আমি কিছু নেটওয়ার্ক স্নিফিং করেছি, যখন আমি ওয়েব অ্যাপ্লিকেশনটিতে লগ ইন করি যা ওয়ার্কস্টেশন এবং ডোমেন নিয়ন্ত্রকদের মধ্যে রয়েছে। তার আগে, আমি ব্যবহারকারীর নাম ক্ষেত্রটিতে পাস করেছি এমন ডোমেনের srv _krb রেকর্ডের জন্য একটি ডিএনএস কোয়েরি তৈরি করা হয়েছে (এটি অবশ্যই FQDN ডোমেন ফর্ম্যাট হতে হবে যেমন mydomain.local \ myusername) তৈরি করা হয়েছে। এর পরে, কিছু কার্বেরোস ফ্রেম দেখা দেয়।