Az - PTA - Pass-through Authentication
मूल जानकारी
दस्तावेज़ से: Azure Active Directory (Azure AD) Pass-through Authentication आपके उपयोगकर्ताओं को एक ही पासवर्ड का उपयोग करके ऑन-प्रेमिस और क्लाउड-आधारित एप्लिकेशन में साइन इन करने की अनुमति देता है। यह सुविधा आपके उपयोगकर्ताओं को एक बेहतर अनुभव प्रदान करती है - एक कम पासवर्ड याद रखने की जरूरत और IT हेल्पडेस्क लागत को कम करती है क्योंकि आपके उपयोगकर्ता साइन इन कैसे करें भूलने की संभावना कम होती है। जब उपयोगकर्ता Azure AD का उपयोग करके साइन इन करते हैं, तो यह सुविधा उपयोगकर्ताओं के पासवर्ड को सीधे आपके ऑन-प्रेमिस Active Directory के खिलाफ मान्यता देती है।
PTA में पहचानें सिंक्रनाइज़ होती हैं, लेकिन पासवर्ड नहीं होते हैं जैसे PHS में।
प्रमाणीकरण को ऑन-प्रेम AD में मान्यता दी जाती है और क्लाउड के साथ संचार एक ऑन-प्रेम सर्वर में चल रहे एक प्रमाणीकरण एजेंट द्वारा किया जाता है (यह ऑन-प्रेम DC पर होने की आवश्यकता नहीं है)।
प्रमाणीकरण फ्लो
लॉगिन करने के लिए उपयोगकर्ता को Azure AD पर पुनर्निर्देशित किया जाता है, जहां उसने उपयोगकर्ता नाम और पासवर्ड भेजा
प्रमाणीकरण एन्क्रिप्टेड होते हैं और एक कतार में सेट किए जाते हैं Azure AD में
ऑन-प्रेम प्रमाणीकरण एजेंट कतार से प्रमाणीकरण जुटाता है और उन्हें डिक्रिप्ट करता है। यह एजेंट "पास-थ्रू प्रमाणीकरण एजेंट" या PTA एजेंट कहलाता है।
एजेंट प्रमाणीकरण को ऑन-प्रेम AD के खिलाफ मान्यता देता है और यदि प्रतिक्रिया सकारात्मक है, तो उपयोगकर्ता का लॉगिन पूरा करता है।
यदि कोई हमलावर PTA को कंप्रमाइज़ करता है, तो वह कतार से सभी प्रमाणीकरण (स्पष्ट-पाठ में) देख सकता है। वह भी AzureAD को किसी भी प्रमाणीकरण की मान्यता दे सकता है (स्केलेटन कुंजी के लिए समान हमला)।
ऑन-प्रेम -> क्लाउड
यदि आपके पास PTA एजेंट चल रहे Azure AD Connect सर्वर का व्यवस्थापक एक्सेस है, तो आप AADInternals मॉड्यूल का उपयोग करके एक बैकडोर डालने का उपयोग कर सकते हैं जो सभी पासवर्डों की मान्यता देगा (ताकि सभी पासवर्ड प्रमाणीकरण के लिए मान्य हों):
यदि स्थापना विफल हो जाती है, तो यह संभावना है कि Microsoft Visual C++ 2015 Redistributables की कमी हो सकती है।
यह भी संभावना है कि पिछले बैकडोर को स्थापित किए गए मशीन पर PTA एजेंट को भेजे गए स्पष्ट-पाठ पासवर्ड देखा जा सकता है निम्नलिखित cmdlet का उपयोग करके:
यह बैकडोर करेगा:
एक छुपी फ़ोल्डर
C:\PTASpy
बनाएगाPTASpy.dll
कोC:\PTASpy
में कॉपी करेगाPTASpy.dll
कोAzureADConnectAuthenticationAgentService
प्रक्रिया में इंजेक्ट करेगा
जब AzureADConnectAuthenticationAgent सेवा पुनः चालू होती है, तो PTASpy "अनलोड" हो जाता है और पुनः स्थापित किया जाना चाहिए।
क्लाउड -> ऑन-प्रेम
क्लाउड पर GA विशेषाधिकार प्राप्त करने के बाद, एक नया PTA एजेंट रजिस्टर करना संभव है जिसे एक हमलावर नियंत्रित मशीन पर सेट किया जा सकता है। एक बार एजेंट सेटअप हो जाए, हम पिछले चरणों को दोहरा सकते हैं ताकि किसी भी पासवर्ड का प्रमाणीकरण किया जा सके और साथ ही, स्पष्ट-पाठ में पासवर्ड प्राप्त किया जा सके।
स्वत: SSO
PTA के साथ स्वत: SSO का उपयोग संभव है, जो अन्य दुरुपयोगों के लिए विकल्प है। इसे जांचें:
pageAz - Seamless SSOसंदर्भ
Last updated