AD 도메인에 참여하지 않은 컴퓨터에서 Kerberos 인증을 사용하는 방법

재미있는 팁이 하나 올라왔군요. ^^

일반적으로 도메인에 참여한 컴퓨터에서 klist 명령을 내리면 다음과 같은 식으로 Kerberos 인증 정보를 출력합니다.

c:\temp> klist

Current LogonId is 0:0x1a9b374

Cached Tickets: (4)

#0>     Client: TestUsr @ TESTAD.COM
        Server: krbtgt/TESTAD.COM @ TESTAD.COM
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
        Start Time: 7/7/2022 7:41:54 (local)
        End Time:   7/7/2022 17:41:54 (local)
        Renew Time: 7/11/2022 11:27:08 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x1 -> PRIMARY
        Kdc Called: ad1.TESTAD.com

...[생략]...

#3>     Client: TestUsr @ TESTAD.COM
        Server: host/testpc.TESTAD.com @ TESTAD.COM
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Start Time: 7/4/2022 11:27:08 (local)
        End Time:   7/4/2022 21:27:08 (local)
        Renew Time: 7/11/2022 11:27:08 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0
        Kdc Called: ad1.TESTAD.com

반면, 도메인에 참여하지 않은 PC에서는 이렇게 비어 있는 Ticket만 볼 수 있습니다.

c:\temp> klist

Current LogonId is 0:0x123c2f

Cached Tickets: (0)

그런데 만약 도메인 계정 정보를 알고 있다면 도메인에 참여하지 않은 PC에서도 그 도메인 계정의 Kerberos 인증 정보를 가질 수 있습니다.

이를 위해 "runas /netonly" 명령어를 다음과 같이 수행하면 됩니다.

runas /netonly /user:[도메인 계정] [명령어]

예를 들어 이렇게 수행하는 것인데요,

c:\temp> runas /netonly /user:TESTAD\TestUsr cmd
Enter the password for TESTAD\TestUsr:
Attempting to start cmd as user TESTAD\TestUsr ...

보는 바와 같이 해당 도메인 계정을 /user 옵션으로 지정하고 이후 password를 묻는 과정에서 정상적인 암호를 입력했다면 이제 대상이 되는 "[명령어]" 프로세스, 위의 경우 cmd.exe 프로세스에서는 Kerberos 인증 정보를 획득할 수 있습니다.

하지만, 저렇게 실행한 프로세스에서 기본적으로 Kerberos 인증 티켓을 소유하고 있지는 않습니다. 그것을 해당 cmd.exe 프로세스에서 klist로 확인할 수 있는데요,

// runas로 실행된 cmd.exe 환경

C:\WINDOWS\system32> klist

Current LogonId is 0:0xf167172b

티켓이 없습니다. 하지만, runas로 지정한 user가 속한 도메인의 자원에 접속하면 이후 티켓을 소유하게 됩니다. (이때 프로세스 레벨로 cache되는 것이 아니고, 시스템 전역적으로 보관됩니다.)

// runas로 실행된 cmd.exe 환경

C:\WINDOWS\system32> dir \\testpc\c$
 Volume in drive \\testpc\c$ has no label.
 Volume Serial Number is A0A5-FF2C

 Directory of \\testpc\c$

...[생략]...
2022-06-12  오후 08:10    <DIR>          Windows
               0 File(s)              0 bytes
              13 Dir(s)  33,413,210,112 bytes free

C:\WINDOWS\system32> klist

Current LogonId is 0:0xf167172b

Cached Tickets: (2)

#0>     Client: TestUsr @ TESTAD.COM
        Server: krbtgt/TESTAD.COM @ TESTAD.COM
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
        Start Time: 7/7/2022 9:29:51 (local)
        End Time:   7/7/2022 19:29:51 (local)
        Renew Time: 7/14/2022 9:29:51 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x1 -> PRIMARY
        Kdc Called: ad1

#1>     Client: TestUsr @ TESTAD.COM
        Server: cifs/testpc @ TESTAD.COM
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Start Time: 7/7/2022 9:29:51 (local)
        End Time:   7/7/2022 19:29:51 (local)
        Renew Time: 7/14/2022 9:29:51 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0
        Kdc Called: ad1.TESTAD.com

---

사실, 도메인에 참여하지 않은 PC가 도메인의 자원을 접근하는 것은 해당 도메인의 계정 정보만 알고 있으면 가능합니다. 가령 위에서 한 실습을 (도메인에 참여하지 않은) 다른 PC에서 "\\test\c$" 경로로 접근하려고 하면 계정 정보를 묻는 창이 뜨고 인증이 되면 해당 도메인 자원에 접근이 가능합니다.

하지만, 그런 상태에서 "klist" 명령어로 확인해 보면 "Cached Tickets"이 비어 있습니다. 아직 저도 이해가 부족해 현실적으로 이런 차이가 뚜렷한 이점을 가져다주는 상황이 언제인지는 알 수 없으나... 그냥 한 번 봐둘 만한 것 같습니다. ^^

---

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[최초 등록일: 7/7/2022]
[최종 수정일: 7/7/2022]


이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com