O NTLM é usado neste caso ...
Eu tenho uma compreensão básica de como o Kerberos funciona em um ambiente do Active Directory e os métodos usados para autenticar usuários e estações de trabalho na rede, mas a minha pergunta é .. como o Kerberos depende da emissão de um token de segurança que o usuário final usa para acessar recursos de rede, como os sistemas (laptops) que não estão no domínio conseguem acessar os mesmos recursos de rede usando apenas o nome de usuário e a senha de um usuário de diretório ativo?
Eu acho que faria mais sentido se apenas usando as credenciais do usuário, o Kerberos gera um token de segurança e o envia para o sistema, mas parece que deve haver mais segurança para impedir que um sistema não-domínio acesse os recursos da rede.
Se alguém puder me esclarecer, eu agradeço!
how are systems (laptops) not on the domain able to access the same network resources using only the username and password of an active directory user?
Depende de quais "recursos de rede" estão envolvidos. Em um computador Windows com domínio associado ao qual você está conectado, há pelo menos duas identidades Kerberos de clientes em reprodução:
Há também host / workstation @ DOMAIN, mas geralmente é a identificação de um serviço em execução no host, sendo acessado de outro lugar. Se um processo privilegiado no host quiser fazer algo - por exemplo, adicionar seu nome ao DNS usando DNS dinâmico autenticado por Kerberos - ele usará sua identidade para fazer isso, estação de trabalho $ @ DOMAIN. Se você, em sua sessão de login, acessa algum recurso sozinho - digamos, um compartilhamento de rede CIFS ou uma URL HTTP autenticada - então a identidade do cliente é seu nome principal, usuário @ DOMAIN (credenciais para as quais são adquiridos automaticamente para você usando a senha que você digitou para efetuar login). De sua pergunta, você parece pensar que alguma combinação está envolvida; não é, eles são separados.
É por isso que não há problema em usar o Kerberos para acessar recursos baseados no Windows de outras plataformas. Você também pode digitar "kinit user" em uma caixa Linux, digitar sua senha para obter uma credencial Kerberos (TGT) de um controlador de domínio e, em seguida, usar o Firefox para acessar uma página da Web autenticada por Kerberos no IIS. Os protocolos para tudo isso são padrão e você não precisa de nada, exceto da credencial do usuário.
Uma resposta anterior afirmou que o NTLM é necessário neste caso; isso é falso (embora certamente possa ser usado). No entanto, quando você acessa algum recurso de um computador sem domínio e solicita seu nome de usuário e senha, você não necessariamente sabe qual método de autenticação está realmente sendo usado. Pode usar o Kerberos. Ele também pode apenas recorrer a um mecanismo baseado em senha pelo qual ele envia seu nome de usuário e senha para o servidor para verificação e, em seguida, armazena em cache sua senha para que você não precise digitá-la novamente. Muitos protocolos permitem tanto via esquemas de abstração como o SASL. Você teria que olhar no fio para ver o que está acontecendo.
As instruções abaixo são sobre como se autenticar em um servidor Samba usando o Kerberos de um cliente Windows 7/10 (talvez outros). Eu não testei para outra versão do cliente e servidor:
No cliente do Windows, "Executar como administrador" cmd.exe. Em seguida, insira este comando para fornecer ao Windows o conhecimento do controlador de domínio Kerberos (KDC) para o kerberos REALM.COM.
Se o KDC estiver no DNS:
ksetup /addkdc REALM.COM
Caso contrário:
ksetup /addkdc REALM.COM kdc01.realm.com
(Digite mais KDCs para o reino REALM.COM, se existirem. Além disso, pode adicionar outros reinos em qualquer estilo.)
Em seguida, use o Explorer para acessar o compartilhamento de rede de interesse. (Por exemplo, \samba.realm.com\share na barra de endereço.) Um prompt de senha será aberto se o compartilhamento estiver protegido.
Você precisará especificar o domínio no nome de usuário. Isso pode ser feito como [email protected] ou REALM.COM\user .
Em seguida, digite a senha.
Eu conheço pelo menos um sistema que pode usar kerberos que funciona em estações de trabalho que não são de domínio. O nome desta aplicação é "SAP NETWEAVER Portal". Eu realizei alguns sniffing de rede na estação de trabalho e na comunicação, quando efetuo login no aplicativo da web que está entre os controladores de domínio e de estação de trabalho. Antes disso, uma consulta dns para os registros srv _krb do domínio que passei para o campo username (deve ser o formato de domínio FQDN, por exemplo, mydomain.local \ myusername) é feita. Depois disso, alguns quadros de kerberos ocorrem.