Вход пользователя в систему
Использование протокола Kerberos для проверки подлинности пользователя во время его входа в систему
Во время входа пользователя в систему генерируется запрос на выполнение проверки подлинности по протоколу Kerberos для получения билета сеанса. Затем процесс входа в систему запрашивает ключ сеанса для службы у центра KDC с помощью службы Ticket Granting Service.
| Пакет | Источник | Получатель | Протокол | Описание |
|---|---|---|---|---|
| 1 | Клиент | Сервер | Kerberos | KRB_AS_REQ |
| 2 | Сервер | Клиент | Kerberos | KRB_AS_REP |
| 3 | Клиент | Сервер | Kerberos | KRB_TGS_REQ |
| 4 | Сервер | Клиент | Kerberos | KRB_TGS_REP |
Во время процесса входа пользователя в систему запрашиваются следующие билеты:
- Kerberos: Server Name = <clientname>$
- Kerberos: Server Name = <dc name>$
- Kerberos: Server Name = krbtgt.<dns domain name>
- Kerberos: Server Name = ldap.<dc name>.<dns domain name>
Как было отмечено ранее, размер Kerberos-пакетов зависит от количества групп, членом которых является пользователь.
Загрузка групповой политики
Процесс получения данных групповой политики аналогичен тому, что был описан ранее в разделе, посвященному процессу загрузки компьютера. Клиент использует "DS API DSCrackNames" для выполнения преобразования имен и получения информации о политиках с последующей загрузкой их по протоколу LDAP.
Во время входа в систему процессом входа запрашиваются следующие билеты:
OOOOOOAO OO OO O0 5D 04 5B 5B 4C 44 41 50 3A 2F 2F 43 4E ...].[[LDAP://CN
OOOOOOBO 3D 7B 33 31 42 32 46 33 34 30 2D 30 31 36 44 2D ={31B2F340-016D-
OOOOOOCO 31 31 44 32 2D 39 34 35 46 2D 30 30 43 30 34 46 11D2-945F-00C04F
OOOOOODO 42 39 38 34 46 39 7D 2C 43 4E 3D 50 6F 6C 69 63 B984F9},CN=Polic
OOOOOOEO 69 65 73 2C 43 4E 3D 53 79 73 74 65 6D 2C 44 43 ies,CN=System,DC
OOOOOOFO 3D 6D 61 69 6E 2C 44 43 3D 6C 6F 63 61 6C 3B 30 =main,DC=1oca1;0
OOOO0100 5D 30 84 00 00 00 3E 02 01 1D 73 84 00 00 00 35 ]0a...>...sa...5
OOOO0110 04 33 6C 64 61 70 3A 2F 2F 6D 61 69 6E 2E 6C 6F .31dap://main.1o
OOOO0120 63 61 6C 2F 43 4E 3D 43 6F 6E 66 69 67 75 72 61 ca1/CN=Configura
OOOO0130 74 69 6F 6E 2C 44 43 3D 6D 61 69 6E 2C 44 43 3D tion,DC=main,DC=
OOOO0140 6C 6F 63 61 6C 30 84 00 00 00 10 02 01 1D 65 84 loca10 .......ea
Затем клиент устанавливает соединение с контроллером по протоколу SMB и загружает необходимые файлы политики.
| Пакет | Источник | Получатель | Протокол | Описание |
|---|---|---|---|---|
| 1 | Клиент | Сервер | SMB | C согласование, Диалект = NT LM 0.12 |
| 2 | Сервер | Клиент | SMB | R согласование, Диалект # = 5 |
| 3 | Клиент | Сервер | SMB | C настройка сеанса & X |
| 4 | Сервер | Клиент | SMB | R настройка сеанса & X |
| 5 | Клиент | Сервер | SMB | C подключение дерева & X, Общий ресурс = \\DCCLAB22.MAIN.LOCAL\SYSVOL |
| 6 | Сервер | Клиент | SMB | R подключение дерева & X, Тип = _ |
| 7 | Клиент | Сервер | SMB | C NT создание & X, Файл = \main.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini |
| 8 | Сервер | Клиент | SMB | R NT создание & X |
| 9 | Клиент | Сервер | SMB | C чтение & X, FID = 0x8005, Read 0x1a at 0x00000000 |
| 10 | Сервер | Клиент | SMB | R чтение & X, Read 0x1a |
Приведенная последовательность обмена пакетами отображает процесс подключения клиента к системному разделу и загрузку политики пользователя. Информацию об общем объеме трафика, генерируемого при загрузке данных групповой политики можно получить из Главы 5 книги издательства Microsoft Press Организация служб предприятия Active Directory: заметки на полях (Chapter 5 of the Microsoft Press book Building Enterprise Active Directory Services, in the Notes from the Field series) (EN).