>Microsoft提供了各种Windows凭据提供程序,称为"安全支持提供程序",作为Microsoft Windows的一部分,例如
・密码(*1(
・智能卡(窗口身份验证中的证书((*2(
・窗口你好,密码(FIDO 2((*3(
Kerberos是使用 Kerberos 票证对 Windows 上的用户进行身份验证以进行交互式登录和使用 Kerberos 票证进行网络登录的主要方法。 域用户登录过程
通过使用上面的 (*1( 或 (*2( 或 (*3(,我真的很想知道是否有任何简单的方法来发行(创建(kerberos 票证?
我也咨询了微软API集关于这个模型(域用户登录过程(,但似乎没有API来发行(创建(票证kerberos。
我引用的 API: SSPI:https://learn.microsoft.com/en-us/windows/win32/api/sspi/LsaLogon用户:https://learn.microsoft.com/en-us/windows/win32/api/ntsecapi/nf-ntsecapi-lsalogonuser
请让我知道。提前感谢!
凭据提供程序不是 SSP;它们是凭据提供程序。它们将你正在使用的凭据从输入(键盘、生物、智能卡(传送到 SSP。它们不是用来做繁重的工作。SSP 执行实际的协议工作,即对属于你的权限的任何服务进行身份验证。
您引用的图像在技术上并不准确,因为这是 Vista 之前的过程。图像左侧的所有内容都已过时。右侧仍然基本正确。
撇开颜色评论不谈,参孙是正确的。AD 是票证创建者,获取它以创建票证的唯一方法是在使用凭据进行身份验证后请求它,并将其用于特定命名服务的命名凭据。您请求票证的方式是通过SSPI ACH和ISC功能。SSP 是这些函数的内部实现。
LsaLogonUser
将验证凭据并将生成的票证存储在专用缓存中(与默认登录会话缓存分开(。通常,您调用 CredUIPromptForWindowsCredentials 来收集信誉,并将缓冲区传递给LsaLogonUser
或 ACH 函数。