ما هو الأكتيف داريكتوري؟

الأكتيف داريكتوري (Active Directory) هو خدمة دليل مركزية طورتها مايكروسوفت لإدارة المستخدمين والأجهزة والصلاحيات في شبكات الويندوز.

مصادقة الكيربيروس

الكيربيروس (Kerberos) هو البروتوكول الأساسي للمصادقة في بيئات الأكتيف داريكتوري. يعتمد على نظام التذاكر (Tickets) بدلاً من إرسال كلمة المرور عبر الشبكة.

كيف تعمل العملية؟

المستخدم  ──AS-REQ──>  KDC
المستخدم  <─AS-REP──  TGT (مشفر بمفتاح krbtgt)
المستخدم  ──TGS-REQ─>  KDC
المستخدم  <─TGS-REP─  TGS (تذكرة الخدمة)
المستخدم  ──────────>  الخدمة (باستخدام TGS)

# عرض التذاكر الحالية
klist

# طلب تذكرة لخدمة محددة
kinit -S cifs/fileserver.corp.local user@CORP.LOCAL

نقطة مهمة: الـ TGT صالح 10 ساعات افتراضياً. إذا سُرق فيمكن استخدامه حتى انتهائه.

مصادقة NTLM

NTLM هو بروتوكول مصادقة قديم ما زال مستخدماً عند الاتصال بالأجهزة خارج الدومين أو عبر عنوان IP مباشرة.

آلية Challenge-Response

العميل   ──NEGOTIATE──>  الخادم
العميل   <─CHALLENGE──   nonce (رقم عشوائي)
العميل   ──RESPONSE──>   Hash(نكست + كلمة المرور)

# عرض بروتوكول المصادقة المستخدم
Get-WinEvent -LogName Security | Where-Object {$_.Id -eq 4624} |
  Select-Object -First 5

فرق جوهري: NTLM أضعف من Kerberos لأنه لا يدعم Mutual Authentication.