Last updated
Dokümantasyondan alınan bilgilere göre: Azure Active Directory (Azure AD) Pass-through Authentication, kullanıcılarınızın aynı şifreleri kullanarak hem yerel hem de bulut tabanlı uygulamalara giriş yapmasına olanak tanır. Bu özellik, kullanıcılarınıza daha iyi bir deneyim sunar - hatırlanması gereken bir şifre daha az olduğu için ve kullanıcılarınızın giriş yapmayı unutma olasılığı daha düşük olduğu için IT yardım masası maliyetlerini azaltır. Kullanıcılar Azure AD kullanarak giriş yaptığında, bu özellik kullanıcıların şifrelerini doğrudan yerel Active Directory'nizde doğrular.
PTA'da kimlikler senkronize edilirken şifreler senkronize edilmez, PHS'deki gibi.
Kimlik doğrulama, yerel AD'de doğrulanır ve bulutla iletişim, bir kimlik doğrulama ajanı tarafından gerçekleştirilir ve bu ajan bir yerel sunucuda çalışır (yerel DC'de olması gerekmez).
Kullanıcı giriş yapmak için Azure AD'ye yönlendirilir, burada kullanıcı adı ve şifre gönderir.
Kimlik bilgileri, Azure AD'deki bir kuyruğa şifrelenmiş olarak yerleştirilir.
Yerel kimlik doğrulama ajanı, kuyruktan kimlik bilgilerini toplar ve şifreleri şifre çözer. Bu ajan "Pass-through authentication agent" veya PTA ajanı olarak adlandırılır.
Ajan, kimlik bilgilerini yerel AD'ye karşı doğrular ve yanıtı Azure AD'ye gönderir. Eğer yanıt olumlu ise, Azure AD kullanıcının girişini tamamlar.
Bir saldırgan, PTA'yı ele geçirirse, kuyruktaki tüm kimlik bilgilerini (açık metin olarak) görebilir. Ayrıca, AzureAD'ye herhangi bir kimlik bilgisini doğrulayabilir (Skeleton key saldırısına benzer bir saldırı).
Eğer PTA ajanı çalışan Azure AD Connect sunucusuna yönetici erişiminiz varsa, AADInternals modülünü kullanarak geri kapı ekleyebilirsiniz. Bu geri kapı, girilen TÜM şifreleri doğrulayacak şekilde çalışır:
Eğer kurulum başarısız olursa, bunun muhtemelen Microsoft Visual C++ 2015 Redistributables eksikliğinden kaynaklandığını belirtmek gerekir.
Ayrıca, önceki arka kapının kurulduğu makinede aşağıdaki cmdlet kullanılarak PTA ajanına gönderilen açık metin parolaları görüntülemek mümkündür:
Bu arka kapı şunları yapacak:
Gizli bir C:\PTASpy klasörü oluşturacak
PTASpy.dll dosyasını C:\PTASpy klasörüne kopyalayacak
PTASpy.dll'yi AzureADConnectAuthenticationAgentService işlemine enjekte edecek
AzureADConnectAuthenticationAgent hizmeti yeniden başlatıldığında, PTASpy "boşaltılır" ve yeniden yüklenmesi gerekir.
Bulutta GA yetkilerine sahip olduktan sonra, bir saldırgan kontrolündeki makineye bir PTA ajanı kaydederek yeni bir PTA ajanı oluşturmak mümkündür. Ajan kurulduktan sonra, önceki adımları tekrarlayarak herhangi bir şifre ile kimlik doğrulaması yapabilir ve ayrıca şifreleri açık metin olarak alabiliriz.
PTA ile Sorunsuz SSO kullanmak mümkündür ve bu da diğer kötüye kullanımlara açıktır. Aşağıdaki bağlantıda kontrol edebilirsiniz:
Az - Seamless SSO
