Ctrl+K
Ctrl+K
PDF
Ctrl+K
PDF

Версии

Пароли пользователей в домене

Пароли пользователей в домене#

Пароль представляет из себя набор символов, который известен только самому пользователю и проверяющей стороне, поэтому, если пользователь может предъявить доказательство того, что пароль ему известен, это является подтверждением аутентичности пользователя, что он именно тот, за кого себя выдает.

В открытом виде пароли не хранят, в базу данных записывают хеши, и так как в домене ПКД используется сразу несколько разных механизмов аутентификации, у пользователей есть несколько хешей:

  • userPassword хранит PBKDF2_SHA256 хеш, который используется для обычной LDAP аутентификации, так называемой привязки (Bind). Во избежание перехвата пароля этот способ аутентификации рекомендуют использовать только с шифрованием траффика (LDAPS или LDAP+StartTLS);

  • krbPrincipalKey хранит AES хеши, которые используются для аутентификации по протоколу Kerberos V5. Это наиболее рекомендуемый способ аутентификации с использованием паролей, т.к. он обеспечивает наибольший уровень безопасности;

  • ipaNTHash хранит MD4 хеш, который используется для NTLM аутентификации. Этот механизм аутентификации необходим для интеграции с MS AD, простой аутентификации на файловом сервере при обращении к нему по IP-адресу и интеграции с некоторыми другими внешними системами.

Для изменения пароля новое значение следует записать открытым текстом в атрибут userPassword, сервер автоматически сгенерирует все необходимые ключи и запишет в базу уже хешированные значения. В силу такой особенности работы сервера записывать в каталог уже хешированные значения запрещено. Обойти это ограничение можно только при создании новых пользователей, если сервер будет переведен в режим миграции.

Что такое политики паролей#

Пароли, к сожалению, являются не самым безопасным механизмом аутентификации, так как их можно подобрать или перехватить, поэтому в работе с паролями необходимо следовать определенным правилам, или так называемым политикам, которые повышают уровень безопасности учетных записей в домене: пароли нужно периодически обновлять, использовать следует достаточно длинные комбинации, состоящие из разных категорий символов, и т.п.

Чем более строгие требования задает политика паролей, тем сложнее злоумышленнику подобрать пароль и воспользоваться результатами успешной атаки. Но, вместе с тем, и пользователям сложнее работать в таком домене, поэтому для разных групп пользователей следует устанавливать разные требования, обеспечивающий компромисс между удобством и безопасностью.

Содержание