Az AD Connect - Hybrid Identity

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikionekana katika HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa kipekee wa NFTs
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Taarifa Msingi

Ushirikiano kati ya Active Directory (AD) ya On-premises na Azure AD unarahisishwa na Azure AD Connect, ukitumia njia mbalimbali zinazosaidia Single Sign-on (SSO). Kila njia, ingawa ni muhimu, inaweza kuwa na mapungufu ya usalama yanayoweza kutumiwa kudhoofisha mazingira ya wingu au ya on-premises:

Uthibitishaji wa Kupitia (PTA):
Uwezekano wa kudhoofisha wakala kwenye AD ya on-prem, kuruhusu uthibitishaji wa nywila za watumiaji kwa ajili ya mawasiliano ya Azure (on-prem hadi Wingu).
Uwezekano wa kujiandikisha wakala mpya kwa ajili ya kuthibitisha uthibitisho mahali mpya (Wingu hadi on-prem).

pageAz - PTA - Pass-through Authentication

Sawazisha Nywila (PHS):
Uwezekano wa kutoa nywila za maandishi wazi za watumiaji wenye mamlaka kutoka kwenye AD, ikiwa ni pamoja na vyeti vya mtumiaji wa AzureAD aliye na mamlaka ya juu, yanayojengwa kiotomatiki.

pageAz - PHS - Password Hash Sync

Muungano:
Wizi wa ufunguo binafsi unaotumiwa kwa ajili ya kusaini SAML, kuruhusu udanganyifu wa utambulisho wa on-prem na vitambulisho vya wingu.

pageAz - Federation

SSO Isiyokuwa na Vikwazo:
Wizi wa nywila ya mtumiaji wa AZUREADSSOACC, inayotumiwa kwa ajili ya kusaini tiketi za fedha za Kerberos, kuruhusu udanganyifu wa mtumiaji yeyote wa wingu.

pageAz - Seamless SSO

Uaminifu wa Kerberos wa Wingu:
Uwezekano wa kujiongezea kutoka kwa Msimamizi Mkuu hadi kwa Msimamizi wa Domain wa on-prem kwa kubadilisha majina ya watumiaji na SIDs wa AzureAD na kuomba TGT kutoka AzureAD.

pageAz - Cloud Kerberos Trust

Programu za Chaguo-msingi:
Kudhoofisha akaunti ya Msimamizi wa Programu au Akaunti ya Usawazishaji wa On-premise kunaruhusu mabadiliko ya mipangilio ya saraka, uanachama wa vikundi, akaunti za watumiaji, tovuti za SharePoint, na faili za OneDrive.

pageAz - Default Applications

Kwa kila njia ya ushirikiano, usawazishaji wa watumiaji unafanywa, na akaunti ya MSOL_<kitambulisho cha usakinishaji> inaundwa kwenye AD ya on-prem. Kwa umuhimu, njia zote za PHS na PTA zinarahisisha SSO Isiyokuwa na Vikwazo, kuruhusu kuingia moja kwa moja kwa kompyuta za Azure AD zilizounganishwa kwenye kikoa cha on-prem.

Ili kuthibitisha usakinishaji wa Azure AD Connect, amri ifuatayo ya PowerShell, ikitumia moduli ya AzureADConnectHealthSync (iliyosakinishwa kiotomatiki na Azure AD Connect), inaweza kutumika:

Get-ADSyncConnector

Jifunze AWS hacking kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs za kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za kuhack kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

PreviousAz - Lateral Movement (Cloud - On-Prem)NextAz- Synchronising New Users

Last updated 2 months ago