Kerberos Preauthentication
Tocmai ce am gasit intr-un AD setarea Do not require Kerberos preauthentication activata pe cateva conturi de user.
Tot ce imi vine in minte este ca cineva a incercat ceva in timpul unui proces de troubleshooting ca altfel nu inteleg. Si sincer pana acum nu am dat de nici un environment cu Windows care sa necesite aceasta setare. Prin documentatie se mai spune ca ar fi utila cand te lupti cu unele implementari de kerberos vechi de cand lumea si pamantul dar tot nu am vazut.
Dar sa explic si ce face setarea ca sa intelegeti ca nu este bine sa o aveti setata pe nici un cont.
In timpul procesului de autentificare via Kerberos, unul dintre primii pasi este de a cere de la KDC un ticket TGT ce ii va permite sa discute in continuare cu KDC-ul. Dar inainte de asta clientul trimite un AS request prin care se identifica si semneaza si un timestamp cu propria parola. Cum KDC-ul are acces la parola utilizatorului, va putea sa verifice timestampul si automat sa valideze identitatea userului. Userul fiind autentificat, va primi TGT-ul.
Do not require Kerberos preauthentication dezactiveaza acest proces. Doar spui ca esti Gigel, te crede pe cuvant, si primesti TGT-ul.
Periculos, nu-i asa?