🐶🐶 Kerberos простыми (нет) словами.

• Очень объемная и содержательная статья про работу Kerberos:

➡Простое объяснение основ работы Kerberos;
➡Простое объяснение аутентификации между доменами;
➡Описание реализации передачи сообщений Kerberos как по UDP, так и по TCP;
➡Объяснение что такое «сервис» в понятии Kerberos и почему у «сервиса» нет пароля;
➡Объяснение почему в абсолютном большинстве случаев SPN служит просто для идентификации пользователя, из‑под которого запущен «сервис»;
➡Как система понимает, к какому типу относить то или иное имя принципала;
➡Рабочий код на С++, реализующий алгоритм шифрования Kerberos с AES (код реализован с применением CNG);
➡Как передать X.509 сертификат в качестве credentials в функцию AcquireCredentialsHandle (PKINIT);
➡Как сделать так, чтобы «сервис» понимал чужие SPNs (одновременная работа с credentials от нескольких пользователей);
➡Почему GSS‑API является основой для всего процесса аутентификации в Windows (да и в других ОС тоже);
➡Описание (со скриншотами из Wireshark) того, как именно передаётся AP‑REQ внутри различных протоколов (LDAP, HTTP, SMB, RPC);
➡Простое описание для каждого из типов делегирования Kerberos;
➡Код для тестирования каждого из типов делегирования, который может быть выполнен на единственной рабочей станции, без какой‑либо конфигурации кучи вспомогательных сервисов;
➡Описание User‑To‑User (U2U), а также код с возможностью протестировать U2U;
➡Ссылки на различный мой код, как то: реализация «whoami на S4U», реализация klist, библиотеки XKERB для запросов к SSPI и прочее.

➡️ https://habr.com/ru/articles/803163/

#ИБ #Kerberos