Existe uma ferramenta de teste do Kerberos?

Navegue suas respostas
3

Costumo usar openssl s_client para testar e depurar conexões SSL (para serviços LDAPS ou HTTPS). Isso me permite isolar o problema para SSL, sem que nada atrapalhe.

Eu quero fazer algo semelhante com o Kerberos. Eu gostaria de usar um pequeno teste, que mostraria:

  1. O logon inicial da máquina (a conta do computador)
  2. A solicitação AS inicial do usuário solicitando um serviço
  3. A troca de kerberos do usuário recebendo um ticket
  4. (opcional) a solicitação é enviada para o serviço

Eu posso fazer os passos 1, 2 e 3 se eu executar o Wireshark em um KDC, mas geralmente não é uma opção. Consigo capturar os passos 2, 3 e 4 se eu monitorar o tráfego no cliente.

Existe alguma ferramenta que me permita capturar as etapas de login do Kerberos a partir da conta do computador, sem executar o Wireshark no KDC?

    
por ixe013 14.12.2012 / 03:31

2 respostas

4

Vou em frente e envio meus comentários anteriores como resposta. Espero que seja o que o OP queria.

Como você já sabe, você pode usar o klist.exe para limpar seus tíquetes do Kerberos.

Então ligue o Wireshark e comece um rastro. Em seguida, limpe seus tíquetes Kerberos. Em seguida, em um prompt de comando, digite net stop netlogon & net start netlogon . (Ou faça algo como tentar acessar um compartilhamento de arquivos de rede.) Isso fará com que o computador solicite novos tickets do Kerberos do KDC / Domain Controller. Agora pare seu traço Wireshark. Você capturou com sucesso um rastreamento de rede contendo a interação entre o membro do domínio e o controlador de domínio.

    
por 14.12.2012 / 04:38
2

Atualização: essa resposta é específica para * nix e a questão é sobre o Windows. Deixando-o para referência futura, apenas no caso.

Você pode usar:

  • kdestroy para eliminar seus tickets antigos
  • kinit para solicitar um TGT
  • kvno para solicitar um ticket para um serviço, por exemplo %código%

Ah, e kvno host/$(hostname -f) não permite limpar o cache. Mostra os tickets que você obteve.

    
por 14.12.2012 / 05:35

Tags

Você pode ter um slot de teste e produção nos sites do Azure? Para o público australiano, um domínio .com.au não resolvido seria resolvido mais rápido que um .com não acoplado?