Az - PTA - Pass-through Authentication

Basic Information

From the docs: Azure Active Directory (Azure AD) Pass-through Authentication allows your users to sign in to both on-premises and cloud-based applications using the same passwords. This feature provides your users a better experience - one less password to remember, and reduces IT helpdesk costs because your users are less likely to forget how to sign in. When users sign in using Azure AD, this feature validates users' passwords directly against your on-premises Active Directory.

PTA에서 아이덴티티는 동기화되지만 비밀번호는 PHS처럼 동기화되지 않습니다.

인증은 온프레미스 AD에서 검증되며, 클라우드와의 통신은 온프레미스 서버에서 실행되는 인증 에이전트에 의해 이루어집니다 (온프레미스 DC에 있을 필요는 없습니다).

Authentication flow

1. 로그인을 위해 사용자는 Azure AD로 리디렉션되며, 여기서 사용자 이름과 비밀번호를 입력합니다.

2. 자격 증명은 암호화되어 Azure AD의 큐에 설정됩니다.

3. 온프레미스 인증 에이전트가 큐에서 자격 증명을 수집하고 복호화합니다. 이 에이전트는 "Pass-through authentication agent" 또는 PTA agent라고 불립니다.

4. 에이전트는 온프레미스 AD에서 자격 증명을 검증하고 응답을 Azure AD로 전송합니다. 응답이 긍정적이면 사용자의 로그인이 완료됩니다.

On-Prem -> cloud

PTA 에이전트가 실행 중인 Azure AD Connect 서버에 관리자 접근 권한이 있는 경우, AADInternals 모듈을 사용하여 모든 비밀번호를 검증하는 백도어를 삽입할 수 있습니다 (따라서 모든 비밀번호가 인증에 유효하게 됩니다):

Install-AADIntPTASpy

이전 백도어가 설치된 머신에서 다음 cmdlet을 사용하여 PTA 에이전트로 전송된 평문 비밀번호를 볼 수 있습니다:

Get-AADIntPTASpyLog -DecodePasswords

이 백도어는 다음을 수행합니다:

• 숨겨진 폴더 C:\PTASpy 생성

• PTASpy.dll을 C:\PTASpy에 복사

• PTASpy.dll을 AzureADConnectAuthenticationAgentService 프로세스에 주입

Cloud -> On-Prem

Seamless SSO

PTA와 함께 Seamless SSO를 사용할 수 있으며, 이는 다른 악용에 취약합니다. 자세한 내용은 다음을 참조하세요:

References

• https://learn.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-pta

• https://aadinternals.com/post/on-prem_admin/#pass-through-authentication