Az - PHS - Password Hash Sync
Taarifa Msingi
Kutoka kwa nyaraka: Synchronization ya hash ya nywila ni moja ya njia za kuingia zinazotumiwa kufanikisha kitambulisho cha mchanganyiko. Azure AD Connect inasawazisha hash, ya hash, ya nywila ya mtumiaji kutoka kwa kifaa cha Active Directory cha ndani hadi kifaa cha Azure AD kwenye wingu.
Ni njia ya kawaida inayotumiwa na makampuni kusawazisha AD ya ndani na Azure AD.
Wote watumiaji na hash ya nywila zinasawazishwa kutoka kwa ndani kwenda Azure AD. Hata hivyo, nywila za maandishi wazi au hash za asili hazitumwi kwa Azure AD. Zaidi ya hayo, Vikundi vya usalama vilivyojengwa (kama vile waendeshaji wa kikoa...) havisawazishwi na Azure AD.
Usawazishaji wa hash hufanyika kila dakika 2. Hata hivyo, kwa chaguo-msingi, ukomo wa nywila na ukomo wa akaunti hawasawazishwi katika Azure AD. Hivyo, mtumiaji ambaye nywila yake ya ndani imeisha muda (haikubadilishwa) anaweza kuendelea kupata rasilimali za Azure kwa kutumia nywila ya zamani.
Wakati mtumiaji wa ndani anapotaka kupata rasilimali ya Azure, uthibitisho hufanyika kwenye Azure AD.
PHS inahitajika kwa vipengele kama Ulinzi wa Kitambulisho na Huduma za Domain za AAD.
Kubadilisha Mwelekeo
Wakati PHS imeboreshwa baadhi ya akaunti zenye mamlaka zinaundwa moja kwa moja:
Akaunti ya
MSOL_<installationID>
inaundwa moja kwa moja kwenye AD ya ndani. Akaunti hii inapewa jukumu la Akaunti za Usawazishaji wa Dhibiti (angalia nyaraka) ambayo inamaanisha kuwa ina idhini ya usawazishaji (DCSync) katika AD ya ndani.Akaunti ya
Sync_<jina la seva ya ADConnect ya ndani>_installationID
inaundwa kwenye Azure AD. Akaunti hii inaweza kusawazisha nywila ya MTUMIAJI YEYOTE (aliyesawazishwa au wingu pekee) kwenye Azure AD.
Nywila za akaunti mbili zenye mamlaka hapo juu zinahifadhiwa kwenye seva ya SQL kwenye seva ambapo Azure AD Connect imeboreshwa. Waendeshaji wanaweza kutoa nywila za watumiaji hao wenye mamlaka kwa maandishi wazi.
Hifadhidata iko katika C:\Program Files\Microsoft Azure AD Sync\Data\ADSync.mdf
.
Inawezekana kutoa maelezo ya usanidi kutoka kwa moja ya meza, moja ikiwa imefichwa:
SELECT private_configuration_xml, encrypted_configuration FROM mms_management_agent;
Usanidi uliofichwa umefichwa kwa kutumia DPAPI na una nywila za mtumiaji wa MSOL_*
kwenye AD ya ndani na nywila ya Sync_* kwenye AzureAD. Hivyo, kwa kuhatarisha hizi inawezekana kufikia AD na AzureAD.
Unaweza kupata muhtasari kamili wa jinsi nywila hizi zinavyohifadhiwa na kufichuliwa katika mazungumzo haya.
Kupata seva ya Azure AD connect
Ikiwa seva ambapo Azure AD connect imeboreshwa imejiunga na kikoa (inapendekezwa katika nyaraka), inawezekana kuipata kwa:
Kudhuru MSOL_*
Unaweza pia kutumia adconnectdump kupata sifa hizi.
Kutumia Vibaya Sync_*
Kwa kudukua akaunti ya Sync_*
niwezekanavyo kusahihisha nenosiri la mtumiaji yeyote (ikiwa ni pamoja na Waadmin wa Kimataifa)
Pia niwezekana kubadilisha nywila za watumiaji wa buluu pekee (hata kama hiyo ni ya kushangaza)
Pia niwezekano wa kudump nenosiri la mtumiaji huyu.
Chaguo lingine lingekuwa kutenga ruhusa za mamlaka kuu kwa mada ya huduma, ambayo mtumiaji wa Sync ana ruhusa za kufanya, na kisha kupata huduma hiyo ya mamlaka kuu kama njia ya privesc.
Usajili Usio na Vikwazo
Inawezekana kutumia Usajili Usio na Vikwazo na PHS, ambayo inaweza kutumika vibaya kwa njia nyingine. Angalia hapa:
pageAz - Seamless SSOMarejeo
Last updated