Az - PTA - Pass-through Authentication
Taarifa Msingi
Kutoka kwa nyaraka: Uthibitishaji wa Kupitia wa Azure Active Directory (Azure AD) unaruhusu watumiaji wako kuingia kwenye programu za eneo-kazi na zile za wingu kwa kutumia nywila sawa. Kipengele hiki hutoa watumiaji wako uzoefu bora - nywila moja chini ya kukumbuka, na kupunguza gharama za msaada wa IT kwa sababu watumiaji wako hawana uwezekano wa kusahau jinsi ya kuingia. Wakati watumiaji wanapoingia kwa kutumia Azure AD, kipengele hiki huthibitisha nywila za watumiaji moja kwa moja dhidi ya Active Directory yako ya eneo-kazi.
Katika PTA vitambulisho vinahusishwa lakini nywila hazihusishwi kama katika PHS.
Uthibitishaji unathibitishwa katika AD ya eneo-kazi na mawasiliano na wingu hufanywa na mawakala wa uthibitishaji wanaofanya kazi kwenye server ya eneo-kazi (hauitaji kuwa kwenye DC ya eneo-kazi).
Mchoro wa Uthibitishaji
Kwa kuingia mtumiaji anaelekezwa kwa Azure AD, ambapo anatuma jina la mtumiaji na nywila
Vyeti vinakuwa vimefichwa na kuwekwa kwenye foleni kwenye Azure AD
Mawakala wa uthibitishaji wa eneo-kazi wanakusanya vyeti kutoka kwenye foleni na kuvifichua. Mawakala huyu huitwa "mawakala wa uthibitishaji wa kupitia" au mawakala wa PTA.
Mawakala huthibitisha vyeti dhidi ya AD ya eneo-kazi na kutuma jibu kurejea kwa Azure AD ambayo, ikiwa jibu ni chanya, inafunga kuingia kwa mtumiaji.
Ikiwa mshambuliaji anadukua PTA anaweza kuona vyeti vyote kutoka kwenye foleni (kwa maandishi wazi). Anaweza pia kuthibitisha vyeti vyovyote kwa AzureAD (shambulio sawa na Skeleton key).
Eneo-kazi -> wingu
Ikiwa una upatikanaji wa admin kwenye server ya Azure AD Connect na mawakala wa PTA wanafanya kazi, unaweza kutumia moduli ya AADInternals kuingiza mlango wa nyuma ambao utathibitisha NYWILA ZOTE zilizoingizwa (hivyo nywila zote zitakuwa halali kwa uthibitishaji):
Ikiwa usakinishaji unashindwa, hii labda ni kutokana na kukosekana kwa Microsoft Visual C++ 2015 Redistributables.
Pia ni pamoja na uwezekano wa kuona nywila za maandishi wazi zilizotumwa kwa wakala wa PTA kwa kutumia cmdlet ifuatayo kwenye mashine ambapo mlango wa nyuma ulioshughulikiwa awali ulisakinishwa:
Backdoor hii itafanya yafuatayo:
Unda folda iliyofichwa
C:\PTASpy
Nakili
PTASpy.dll
kwaC:\PTASpy
Injekta
PTASpy.dll
kwa mchakato waAzureADConnectAuthenticationAgentService
Wakati huduma ya AzureADConnectAuthenticationAgent inapoanzishwa tena, PTASpy "inaondolewa" na lazima iwe imewekwa tena.
Cloud -> On-Prem
Baada ya kupata mamlaka ya GA kwenye wingu, ni rahisi ku sajili wakala mpya wa PTA kwa kuweka kwenye mashine inayodhibitiwa na mshambuliaji. Mara tu wakala anapowekwa, tunaweza kurudia hatua zilizopita kwa uthibitisho kwa kutumia nenosiri lolote na pia, pata nywila kwa maandishi wazi.
Seamless SSO
Inawezekana kutumia Seamless SSO na PTA, ambayo inaweza kutumika vibaya. Angalia hapa:
pageAz - Seamless SSOMarejeo
Last updated