人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

Active Directoryでのユーザー認証はユーザー名&パスワードで行うのは分かりますが、コンピュータがADに対して認証をするのはどの情報使うのでしょうか?SID?例えばあるドメインに所属しているPCのSIDを盗むことができたら不正なPCで偽装してドメインに所属してしまうということも可能なのでしょうか?

●質問者: akibare
●カテゴリ:コンピュータ
✍キーワード:Active Directory AD pc sid コンピュータ
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

1 ● upride
●25ポイント

http://google.co.jp/

Google

urlダミーで失礼します


ADに登録するのはユーザ名,パスワードの他は

コンピュータアカウント(コンピュータ名)です

大抵は所属部署ごとにOUを作りそこに登録します


>不正なPCで偽装してドメインに所属してしまうということも可能なのでしょうか?」


登録されているコンピュータアカウントを知っていて

それと同じコンピュータ名を仕立てて,

ADに登録されているユーザとパスがわかれば,ADに入れます

すでに同じコンピュータアカウントでログインされてなければですが。


コンピュータアカウントに登録されているマシンからなら

ドメインユーザはログインできると思いますが

ユーザ名,パスワード,コンピュータ名がすべてわからないと

ドメインには参加できないと思います


SID?端末の固有のID情報みたいなものですか?

これがないとドメインに参加できないとしたら

マシンが壊れたらログインできない人が続出のような気が・・

◎質問者からの返答

それはまあ、管理者ユーザーのパスワードが分かれば勝手に参加できしてしまいますね。

管理者ユーザーのパスワードは分からない、「コンピュータをドメインに追加」という作業をしないで、不正なコンピュータを既存のドメイン所属PCに成りすますことは可能でしょうか?

具体的には、Windows XP SP2のWirless LANの設定におけるWPA-EAP認証で「コンピュータの情報があればコンピュータで認証」というような項目があります。この際にコンピュータはRADIUSにどのような「コンピュータ情報」を送っているのでしょうか?


2 ● upride
●25ポイント

http://www.atmarkit.co.jp/fnetwork/rensai/radius01/01.html

@IT:RADIUSを使おう(1)

2度目ですので0ポイントで結構です


>「コンピュータの情報があればコンピュータで認証」


この項目はログオフ状態の場合、自マシンの証明書を利用してネットワークに認証を問い合わせする機能です

(ヘルプより)

ログオンしてからは意味をなさない項目ですね

ユーザログオンがない状態なのでマシン的にはサービスしか稼動してないので

直接的な操作ができないので何を送っているかは?ですが

ログをとるとやり取りがわかるかもしれません

こちらのアクセスログ参照どうぞ


回答としては、なりすませるか?の質問には「yes」なのですが

ログオフ状態で認証を通ってもそのあとのログオンができなくては

なにもできないのでは・・となります

(ドメイングループポリシーは降ってきますが)

◎質問者からの返答

「証明書を利用する」これだ。だとしたらコンピュータ一意の証明書さえばれなければ安全ですね。簡単になりすますことができれば企業の無線LANはLANポートオフィスの外側に公開しているのと同等なので有り得ない話でした。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ