Windows 用 MIT Kerberos における複数のレルムと複数の TGT

Question 1

まあ、Windowsではできないとは言いませんが、制限はセッションベースです。 問題は、Windows がセッションごとに 1 つのチケットをキャッシュすることです。コンピューターをロックしてからロック解除すると、別のセッションが開始され、KDC から新しいキーが要求されます。コンピューターからログオフして再度ログオンした場合も同じことが起こります。この方法は、実際にはサーバーセッションのユーザー権限を決定する方法でもあります。つまり、キー/チケットをキャッシュして、開始するすべてのサーバーリソースまたはセッションでパスワードを尋ねる必要がなくなりますが、複数のキー/チケットをキャッシュできるという話は聞いたことも読んだことも調べたこともありません。

さて、質問で示した知識から、おそらくすでにご存知だと思いますが、Windows は TGT が発行されたときに取得したキーを保存し、セッションベースであるという事実に基づいて、Windows だけでは不可能だと思います。MIT Kerberos for Windows には、1 人のユーザーで 2 つのセッションを開始する方法があるかもしれませんが、それでも、アクセスしているリソースがどのチケット/キーペアを使用するかをどのように認識するかはわかりません。わかりますか?

Windows が TGT/キーペアを保存する方法については、こちらを参照してください。

ところで、とても良い質問ですね。

Answer

まあ、Windowsではできないとは言いませんが、制限はセッションベースです。 問題は、Windows がセッションごとに 1 つのチケットをキャッシュすることです。コンピューターをロックしてからロック解除すると、別のセッションが開始され、KDC から新しいキーが要求されます。コンピューターからログオフして再度ログオンした場合も同じことが起こります。この方法は、実際にはサーバーセッションのユーザー権限を決定する方法でもあります。つまり、キー/チケットをキャッシュして、開始するすべてのサーバーリソースまたはセッションでパスワードを尋ねる必要がなくなりますが、複数のキー/チケットをキャッシュできるという話は聞いたことも読んだことも調べたこともありません。

さて、質問で示した知識から、おそらくすでにご存知だと思いますが、Windows は TGT が発行されたときに取得したキーを保存し、セッションベースであるという事実に基づいて、Windows だけでは不可能だと思います。MIT Kerberos for Windows には、1 人のユーザーで 2 つのセッションを開始する方法があるかもしれませんが、それでも、アクセスしているリソースがどのチケット/キーペアを使用するかをどのように認識するかはわかりません。わかりますか?

Windows が TGT/キーペアを保存する方法については、こちらを参照してください。

ところで、とても良い質問ですね。

Question 2

はい、実用的な解決策を思いつきましたが、もう少し改良が必要なので、すべての環境で機能するとは限りません。

これは以下で動作します:

MIT ケルベロスWindows 4.0.1 および Windows サポートツール (KSETUP.EXE、KTPASS.EXE) の場合
パテ0.63
Windows 7 SP1

MITのKerberosソースを見ていたら、Windows の README特に興味深いのは、資格情報キャッシュデフォルト値はAPI:、しかし驚いたことに、私のレジストリはMSLSA:その代わり。

私はさまざまな値を試してみましたccname下HKEY_CURRENT_USER\Software\MIT\Kerberos5。試してみましたメモリ：最初は、いくつかの興味深い動作につながりました。PuTTY セッションを開くと、MIT Kerberos チケットマネージャーウィンドウが復元されてフォアグラウンドになり、資格情報の入力を求められました。すごい! これまではこのようなことは一度もなかったのですが、残念ながら PuTTY はそれを拒否しました。私の場合、FILE:C:\Some\Full\File\Pathうまくいった値はでした。指定されたファイルへのアクセスをセキュリティで保護する方法がよくわからないので、これは読者の課題として残しておきます。同じようにウィンドウがフォアグラウンドになる動作が得られましたが、今回は PuTTY がそれを好みました。チケットマネージャーウィンドウには、最終的に LR チケットと FR チケットの両方も表示されました。チケットは転送可能であり、複数の Windows ロック/ロック解除に耐えることが証明されました。注記：レジストリ編集の合間にチケットマネージャを完全に終了して再起動してください。ccnameのAPI:まだ。

これが何か違いをもたらすかどうかは分かりませんが、私はまたKセットアップこれが機能し始める前に。最初は、パラメータのない KSETUP は LR に関する情報のみを表示していました。ローカルワークステーションの FR に関する情報をいくつか追加しました。

ksetup /AddKdc FOREIGN.REALM KDC.FOREIGN.REALM
ksetup /AddRealmFlags FOREIGN.REALM TcpSupported Delegate NcSupported

Answer

はい、実用的な解決策を思いつきましたが、もう少し改良が必要なので、すべての環境で機能するとは限りません。

これは以下で動作します:

MIT ケルベロスWindows 4.0.1 および Windows サポートツール (KSETUP.EXE、KTPASS.EXE) の場合
パテ0.63
Windows 7 SP1

MITのKerberosソースを見ていたら、Windows の README特に興味深いのは、資格情報キャッシュデフォルト値はAPI:、しかし驚いたことに、私のレジストリはMSLSA:その代わり。

私はさまざまな値を試してみましたccname下HKEY_CURRENT_USER\Software\MIT\Kerberos5。試してみましたメモリ：最初は、いくつかの興味深い動作につながりました。PuTTY セッションを開くと、MIT Kerberos チケットマネージャーウィンドウが復元されてフォアグラウンドになり、資格情報の入力を求められました。すごい! これまではこのようなことは一度もなかったのですが、残念ながら PuTTY はそれを拒否しました。私の場合、FILE:C:\Some\Full\File\Pathうまくいった値はでした。指定されたファイルへのアクセスをセキュリティで保護する方法がよくわからないので、これは読者の課題として残しておきます。同じようにウィンドウがフォアグラウンドになる動作が得られましたが、今回は PuTTY がそれを好みました。チケットマネージャーウィンドウには、最終的に LR チケットと FR チケットの両方も表示されました。チケットは転送可能であり、複数の Windows ロック/ロック解除に耐えることが証明されました。注記：レジストリ編集の合間にチケットマネージャを完全に終了して再起動してください。ccnameのAPI:まだ。

これが何か違いをもたらすかどうかは分かりませんが、私はまたKセットアップこれが機能し始める前に。最初は、パラメータのない KSETUP は LR に関する情報のみを表示していました。ローカルワークステーションの FR に関する情報をいくつか追加しました。

ksetup /AddKdc FOREIGN.REALM KDC.FOREIGN.REALM
ksetup /AddRealmFlags FOREIGN.REALM TcpSupported Delegate NcSupported

Question 3

私には、Windows の Kerberos に実際にバグがあるように見えます。

次のことがわかりました:

KfW 4.0.1ウィンドウで「チケットを取得」オプションを使用すると、Just Works(TM)で「チケットを取得」ボタンを押して、追加ログイン時に取得した元のチケットに戻ります。

KfWウィンドウで「デフォルトにする」オプションをクリックすると、それ以降は「チケットを取得」をクリックするたびに新しいチケットが交換する既知のチケットのリストに別のエントリを追加するのではなく、どのチケットがデフォルトであるかを確認します。その時点でレジストリを確認すると、エントリccname(Toddius の回答にあるように) が追加されたことがわかります。削除そのエントリは、驚くべきことに、複数のチケットを許可する以前の動作を復元します。

Answer

私には、Windows の Kerberos に実際にバグがあるように見えます。

次のことがわかりました:

KfW 4.0.1ウィンドウで「チケットを取得」オプションを使用すると、Just Works(TM)で「チケットを取得」ボタンを押して、追加ログイン時に取得した元のチケットに戻ります。

KfWウィンドウで「デフォルトにする」オプションをクリックすると、それ以降は「チケットを取得」をクリックするたびに新しいチケットが交換する既知のチケットのリストに別のエントリを追加するのではなく、どのチケットがデフォルトであるかを確認します。その時点でレジストリを確認すると、エントリccname(Toddius の回答にあるように) が追加されたことがわかります。削除そのエントリは、驚くべきことに、複数のチケットを許可する以前の動作を復元します。

Question 4

Toddius の回答に続いて、同様の状況にある同僚がいます (Windows 7 Enterprise 64 ビット、AD ドメインに参加、MIT Kerberos for Windows 4.0.1 も実行)。彼の Kerberos チケットマネージャーのコピーでは、1 つのプリンシパル/1 つの TGT しか持つことができませんでした。彼が [チケットの取得] ボタンを使用して別のプリンシパルの TGT を取得するたびに、以前のプリンシパルは消えてしまいます。

私はレビューしましたREADMEレジストリキーのほとんどは期待通りに設定されていましたが、を除外するのためにccnameパスのキーHKEY_CURRENT_USER\Software\MIT\Kerberos5。そのキーは値に設定されていましたMSLSA:。これをに変更することで修正しましたAPI:。より具体的な手順は次のとおりです。

Kerberos チケットマネージャーを他のすべてのアプリケーションとともに終了します (再起動するため)。
レジストリパスでHKEY_CURRENT_USER\Software\MIT\Kerberos5、ccnameキーはAPI:(API、次にコロン) です。
regedit を終了し、再起動します。
再度ログインした後、Kerberos チケットマネージャーを実行し、[チケットの取得] ボタンを使用して非 AD プリンシパルの TGT を取得します。

上記の手順ですべてが機能し、同僚は複数のプリンシパル/TGT を一度に表示できるようになりました。

ちなみに、MIT Kerberos for Windows には独自のコマンドラインプログラムセット (klist など) が含まれており、これらのプログラムは複数の資格情報キャッシュをサポートしています。私の 64 ビットシステムでは、複数"C:\Program Files\MIT\Kerberos\bin\klist.exe" -A"の TGT を取得した後に実行すると、MSLSA キャッシュに Active Directory プリンシパルが表示され、追加のプリンシパルごとに 1 つの API キャッシュがあります。

追伸：これはこのサイトへの私の最初の投稿なので、Toddius の回答にコメントとして追加できませんでした。申し訳ありません！

Answer