Active Directoryでのユーザー認証はユーザー名&パスワードで行うのは分かりますが、コンピュータがADに対して認証をするのはどの情報使うのでしょうか?SID?例えばあるドメインに所属しているPCのSIDを盗むことができたら不正なPCで偽装してドメインに所属してしまうということも可能なのでしょうか?

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2005/06/28 08:57:19
  • 終了:--

回答(2件)

id:upride No.1

upride回答回数220ベストアンサー獲得回数12005/06/28 15:48:01

ポイント25pt

urlダミーで失礼します


ADに登録するのはユーザ名,パスワードの他は

コンピュータアカウント(コンピュータ名)です

大抵は所属部署ごとにOUを作りそこに登録します


>不正なPCで偽装してドメインに所属してしまうということも可能なのでしょうか?」


登録されているコンピュータアカウントを知っていて

それと同じコンピュータ名を仕立てて,

ADに登録されているユーザとパスがわかれば,ADに入れます

すでに同じコンピュータアカウントでログインされてなければですが。


コンピュータアカウントに登録されているマシンからなら

ドメインユーザはログインできると思いますが

ユーザ名,パスワード,コンピュータ名がすべてわからないと

ドメインには参加できないと思います


SID?端末の固有のID情報みたいなものですか?

これがないとドメインに参加できないとしたら

マシンが壊れたらログインできない人が続出のような気が・・

id:akibare

それはまあ、管理者ユーザーのパスワードが分かれば勝手に参加できしてしまいますね。

管理者ユーザーのパスワードは分からない、「コンピュータをドメインに追加」という作業をしないで、不正なコンピュータを既存のドメイン所属PCに成りすますことは可能でしょうか?

具体的には、Windows XP SP2のWirless LANの設定におけるWPA-EAP認証で「コンピュータの情報があればコンピュータで認証」というような項目があります。この際にコンピュータはRADIUSにどのような「コンピュータ情報」を送っているのでしょうか?

2005/06/28 19:56:32
id:upride No.2

upride回答回数220ベストアンサー獲得回数12005/06/28 21:05:51

ポイント25pt

2度目ですので0ポイントで結構です


>「コンピュータの情報があればコンピュータで認証」


この項目はログオフ状態の場合、自マシンの証明書を利用してネットワークに認証を問い合わせする機能です

(ヘルプより)

ログオンしてからは意味をなさない項目ですね

ユーザログオンがない状態なのでマシン的にはサービスしか稼動してないので

直接的な操作ができないので何を送っているかは?ですが

ログをとるとやり取りがわかるかもしれません

こちらのアクセスログ参照どうぞ


回答としては、なりすませるか?の質問には「yes」なのですが

ログオフ状態で認証を通ってもそのあとのログオンができなくては

なにもできないのでは・・となります

(ドメイングループポリシーは降ってきますが)

id:akibare

「証明書を利用する」これだ。だとしたらコンピュータ一意の証明書さえばれなければ安全ですね。簡単になりすますことができれば企業の無線LANはLANポートオフィスの外側に公開しているのと同等なので有り得ない話でした。

2005/06/28 21:29:15
  • id:akibare
    コンピュータにもパスワード

    恥ずかしい。知りませんでした。ADの「コンピュータアカウント」にもちゃんとパスワードがあるとは。コンピュータはコンピュータ名とこのパスワードでADに対して認証していたのですね!そしてパスワードは30日毎に更新される、と。
    http://www.microsoft.com/technet/scriptcenter/guide/sas_srv_ifcf.mspx
  • id:akibare
    Re:コンピュータにもパスワード

    個人的なメモですが、uprideさんがquoteした「この項目はログオフ状態の場合、自マシンの証明書を利用してネットワークに認証を問い合わせする機能です」というここの「証明書」はEAP-TLSを使った認証の場合のみですね。PEAPの場合はコンピュータ名/パスワードを使った認証となります。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません