성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[양승조] var대신 dinamic으로 선언해서 해결은 했습니다. 맞는 해...
[양승조] 또 막혔습니다. ㅠㅠ var list = props[i].Ge...
[양승조] 아. 감사합니다. 어제는 안됐던것 같은데....정신을 차려야겠네...
[정성태] "props[i].GetValue(props[i])" 코드에서 ...
[정성태] 저렇게 조각 코드 말고, 실제로 재현이 되는 예제 프로젝트를 압...
[정성태] Modules 창(Ctrl+Shift+U)을 띄워서, 해당 Op...
[정성태] 만드실 수 있습니다. 단지, Unity 엔진 내의 스크립트와 W...
[공진영] 안녕하세요 좋은글 감사합니다. 현재 제가 wpf로 관제 모...
[정성태] The Windows Registry Adventure #1: ...
[정성태] systemd for Developers I ; https:/...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>AD 도메인에 참여하지 않은 컴퓨터에서 Kerberos 인증을 사용하는 방법</h1> <p> 재미있는 팁이 하나 올라왔군요. ^^<br /> <br /> <div style='BACKGROUND-COLOR: #ccffcc; padding: 10px 10px 5px 10px; MARGIN: 0px 10px 10px 10px; FONT-FAMILY: Malgun Gothic, Consolas, Verdana; COLOR: #005555'> <a target='tab' href='https://twitter.com/cnotin/status/1544693945443262466/'>https://twitter.com/cnotin/status/1544693945443262466/</a><br /> <br /> I did not expect a non-domain joined Windows machine, using an identity provided with "runas /netonly", to silently manage to obtain a Kerberos TGT then use it to access a service! 😮<br /> I thought it would fallback to NTLM immediately...<br /> That's nice though <br /> </div><br /> <br /> <img alt='netonly_option.jpg' src='/SysWebRes/bbs/netonly_option.jpg' /><br /> <br /> 일반적으로 도메인에 참여한 컴퓨터에서 <a target='tab' href='https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/klist'>klist</a> 명령을 내리면 다음과 같은 식으로 Kerberos 인증 정보를 출력합니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > c:\temp> <span style='color: blue; font-weight: bold'>klist</span> Current LogonId is 0:0x1a9b374 Cached Tickets: (4) #0> Client: TestUsr @ TESTAD.COM Server: krbtgt/TESTAD.COM @ TESTAD.COM KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize Start Time: 7/7/2022 7:41:54 (local) End Time: 7/7/2022 17:41:54 (local) Renew Time: 7/11/2022 11:27:08 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 Cache Flags: 0x1 -> PRIMARY Kdc Called: ad1.TESTAD.com ...[생략]... #3> Client: TestUsr @ TESTAD.COM Server: host/testpc.TESTAD.com @ TESTAD.COM KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize Start Time: 7/4/2022 11:27:08 (local) End Time: 7/4/2022 21:27:08 (local) Renew Time: 7/11/2022 11:27:08 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 Cache Flags: 0 Kdc Called: ad1.TESTAD.com </pre> <br /> 반면, 도메인에 참여하지 않은 PC에서는 이렇게 비어 있는 Ticket만 볼 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > c:\temp> <span style='color: blue; font-weight: bold'>klist</span> Current LogonId is 0:0x123c2f Cached Tickets: (0) </pre> <br /> 그런데 만약 도메인 계정 정보를 알고 있다면 도메인에 참여하지 않은 PC에서도 그 도메인 계정의 Kerberos 인증 정보를 가질 수 있습니다.<br /> <br /> 이를 위해 "runas /netonly" 명령어를 다음과 같이 수행하면 됩니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > runas /netonly /user:[도메인 계정] [명령어] </pre> <br /> 예를 들어 이렇게 수행하는 것인데요,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > c:\temp> <span style='color: blue; font-weight: bold'>runas /netonly /user:TESTAD\TestUsr cmd</span> Enter the password for TESTAD\TestUsr: Attempting to start cmd as user TESTAD\TestUsr ... </pre> <br /> 보는 바와 같이 해당 도메인 계정을 /user 옵션으로 지정하고 이후 password를 묻는 과정에서 정상적인 암호를 입력했다면 이제 대상이 되는 "[명령어]" 프로세스, 위의 경우 cmd.exe 프로세스에서는 Kerberos 인증 정보를 획득할 수 있습니다.<br /> <br /> 하지만, 저렇게 실행한 프로세스에서 기본적으로 Kerberos 인증 티켓을 소유하고 있지는 않습니다. 그것을 해당 cmd.exe 프로세스에서 klist로 확인할 수 있는데요,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > // runas로 실행된 cmd.exe 환경 C:\WINDOWS\system32> <span style='color: blue; font-weight: bold'>klist</span> Current LogonId is 0:0xf167172b </pre> <br /> 티켓이 없습니다. 하지만, runas로 지정한 user가 속한 도메인의 자원에 접속하면 이후 티켓을 소유하게 됩니다. (이때 프로세스 레벨로 cache되는 것이 아니고, 시스템 전역적으로 보관됩니다.)<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > // runas로 실행된 cmd.exe 환경 C:\WINDOWS\system32> <span style='color: blue; font-weight: bold'>dir \\testpc\c$</span> Volume in drive \\testpc\c$ has no label. Volume Serial Number is A0A5-FF2C Directory of \\testpc\c$ ...[생략]... 2022-06-12 오후 08:10 <DIR> Windows 0 File(s) 0 bytes 13 Dir(s) 33,413,210,112 bytes free C:\WINDOWS\system32> <span style='color: blue; font-weight: bold'>klist</span> Current LogonId is 0:0xf167172b Cached Tickets: (2) #0> Client: TestUsr @ TESTAD.COM Server: krbtgt/TESTAD.COM @ TESTAD.COM KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize Start Time: 7/7/2022 9:29:51 (local) End Time: 7/7/2022 19:29:51 (local) Renew Time: 7/14/2022 9:29:51 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 Cache Flags: 0x1 -> PRIMARY Kdc Called: ad1 #1> Client: TestUsr @ TESTAD.COM Server: cifs/testpc @ TESTAD.COM KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize Start Time: 7/7/2022 9:29:51 (local) End Time: 7/7/2022 19:29:51 (local) Renew Time: 7/14/2022 9:29:51 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 Cache Flags: 0 Kdc Called: ad1.TESTAD.com </pre> <br /> <hr style='width: 50%' /><br /> <br /> 사실, 도메인에 참여하지 않은 PC가 도메인의 자원을 접근하는 것은 해당 도메인의 계정 정보만 알고 있으면 가능합니다. 가령 위에서 한 실습을 (도메인에 참여하지 않은) 다른 PC에서 "\\test\c<span class="tex2jax_ignore">$</span>" 경로로 접근하려고 하면 계정 정보를 묻는 창이 뜨고 인증이 되면 해당 도메인 자원에 접근이 가능합니다. <br /> <br /> 하지만, 그런 상태에서 "klist" 명령어로 확인해 보면 "Cached Tickets"이 비어 있습니다. 아직 저도 이해가 부족해 현실적으로 이런 차이가 뚜렷한 이점을 가져다주는 상황이 언제인지는 알 수 없으나... 그냥 한 번 봐둘 만한 것 같습니다. ^^<br /> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
1611
(왼쪽의 숫자를 입력해야 합니다.)