{"id":2406,"date":"2013-07-18T09:27:50","date_gmt":"2013-07-18T06:27:50","guid":{"rendered":"http:\/\/www.buldakov.ru\/?p=2406"},"modified":"2015-12-09T17:13:38","modified_gmt":"2015-12-09T14:13:38","slug":"kerberos-%d1%87%d1%82%d0%be-%d0%bd%d0%be%d0%b2%d0%be%d0%b3%d0%be","status":"publish","type":"post","link":"https:\/\/www.buldakov.ru\/?p=2406","title":{"rendered":"Kerberos: \u0447\u0442\u043e \u043d\u043e\u0432\u043e\u0433\u043e?"},"content":{"rendered":"<p>\u041f\u0440\u043e\u0442\u043e\u043a\u043e\u043b Kerberos \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0445\u043e\u0440\u043e\u0448\u043e \u043e\u043f\u0438\u0441\u0430\u043d \u0432 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0435 \u00ab<a href=\"http:\/\/technet.microsoft.com\/en-us\/library\/cc772815(v=ws.10).aspx\">How the Kerberos Version 5 Authentication Protocol Works<\/a>\u00bb. \u0420\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044f \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0430 Kerberos \u0432 Windows Server 2003 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0435\u0439 Microsoft \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0431\u043b\u0438\u0437\u043a\u0430 \u043a \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u0443 <a href=\"http:\/\/www.ietf.org\/rfc\/rfc1510\">RFC 1510<\/a>. \u0421 \u0442\u0435\u0445 \u043f\u043e\u0440 \u043f\u0440\u043e\u0448\u043b\u043e 10 \u043b\u0435\u0442. \u0423\u0441\u043f\u0435\u043b\u0438 \u0432\u044b\u0439\u0442\u0438 Windows Server 2008, 2008 R2, 2012, \u0433\u043e\u0442\u043e\u0432\u0438\u0442\u0441\u044f \u043a \u0432\u044b\u0445\u043e\u0434\u0443 Windows Server 2012 R2. \u0421\u0430\u043c \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442 \u043e\u0431\u043d\u043e\u0432\u0438\u043b\u0441\u044f \u0434\u043e \u0432\u0435\u0440\u0441\u0438\u0438 <a href=\"http:\/\/www.ietf.org\/rfc\/rfc4120\">RFC 4120<\/a>, \u043a \u043a\u043e\u0442\u043e\u0440\u043e\u043c\u0443 \u0443\u0436\u0435 \u0441\u043e\u0433\u043b\u0430\u0441\u043e\u0432\u0430\u043d\u043e \u0431\u043e\u043b\u044c\u0448\u043e\u0435 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0434\u043e\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0439. \u041a \u0441\u043e\u0436\u0430\u043b\u0435\u043d\u0438\u044e, \u044f \u043d\u0438\u0433\u0434\u0435 \u043d\u0435 \u0432\u0438\u0434\u0435\u043b (\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e \u043f\u043b\u043e\u0445\u043e \u0438\u0441\u043a\u0430\u043b) \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430, \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0449\u0435\u0433\u043e \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f \u043f\u0440\u043e\u0438\u0437\u043e\u0448\u0435\u0434\u0448\u0438\u0435 \u0432 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0435 Kerberos \u0438 \u0432 \u0435\u0433\u043e \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0435\u0439 Microsoft. \u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u043f\u043e\u043f\u0440\u043e\u0431\u0443\u044e \u0432\u043e\u0441\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u044d\u0442\u043e\u0442 \u043f\u0440\u043e\u0431\u0435\u043b.<\/p>\n<p>\u0422\u0430\u043a \u043a\u0430\u043a \u043c\u0435\u043d\u044f \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u0443\u0435\u0442 \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044f \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u043e\u0433\u043e \u0432\u0435\u043d\u0434\u043e\u0440\u0430, \u0442\u043e \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f \u043f\u0440\u0435\u0436\u0434\u0435 \u0432\u0441\u0435\u0433\u043e \u0431\u0443\u0434\u0443\u0442 \u043f\u0440\u0438\u0432\u044f\u0437\u0430\u043d\u044b \u043a \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u043c \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u043c Windows.<!--more--><\/p>\n<h3>Windows Server 2008\/Windows Vista<\/h3>\n<p>\u0423\u043b\u0443\u0447\u0448\u0435\u043d\u0438\u044f \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 (<a href=\"http:\/\/technet.microsoft.com\/en-us\/library\/cc749438(v=ws.10).aspx\">\u043e\u0442\u0441\u044e\u0434\u0430<\/a> \u0438 <a href=\"http:\/\/technet.microsoft.com\/en-us\/library\/hh826044(v=ws.10).aspx\">\u043e\u0442\u0441\u044e\u0434\u0430<\/a>):<\/p>\n<ul>\n<li><span style=\"text-decoration: underline;\">\u041f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0430 \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u0430 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f AES<\/span> \u043a\u0430\u043a \u0434\u043b\u044f \u0441\u0430\u043c\u043e\u0433\u043e \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0430 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 (TGT, \u0441\u0435\u0440\u0432\u0438\u0441\u043d\u044b\u0435 \u0431\u0438\u043b\u0435\u0442\u044b, \u0441\u0435\u0441\u0441\u0438\u043e\u043d\u043d\u044b\u0435 \u043a\u043b\u044e\u0447\u0438) \u0442\u0430\u043a \u0438 \u0434\u043b\u044f \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u0430 \u043a\u043b\u0438\u0435\u043d\u0442-\u0441\u0435\u0440\u0432\u0435\u0440\u043d\u043e\u0433\u043e \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f (\u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0439 Generic Security Service).<\/li>\n<li>\u0412 \u0441\u0432\u044f\u0437\u0438 \u0441 \u043f\u043e\u044f\u0432\u043b\u0435\u043d\u0438\u0435\u043c \u0440\u043e\u043b\u0438 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0435\u0440\u043e\u0432 \u0434\u043e\u043c\u0435\u043d\u0430 \u0442\u043e\u043b\u044c\u043a\u043e \u0434\u043b\u044f \u0447\u0442\u0435\u043d\u0438\u044f (RODC) <span style=\"text-decoration: underline;\">\u043f\u043e\u044f\u0432\u0438\u043b\u0438\u0441\u044c \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0435 \u0443\u0447\u0451\u0442\u043d\u044b\u0435 \u0437\u0430\u043f\u0438\u0441\u0438 krbtgt<\/span> \u0434\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u0442\u0430\u043a\u043e\u0433\u043e \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u0430 <span style=\"text-decoration: underline;\">\u0441 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u043d\u043e\u0439 \u043e\u0431\u043b\u0430\u0441\u0442\u044c\u044e \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f<\/span>.<\/li>\n<li><span style=\"text-decoration: underline;\">OCSP Stapling<\/span>. \u041f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0441\u043d\u0438\u0437\u0438\u0442\u044c \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u043d\u0430 \u0441\u0435\u0442\u044c \u043f\u0440\u0438 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u043f\u043e \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u0430\u043c, \u0431\u043b\u0430\u0433\u043e\u0434\u0430\u0440\u044f \u0442\u043e\u043c\u0443, \u0447\u0442\u043e \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440 \u0434\u043e\u043c\u0435\u043d\u0430 \u043a\u0435\u0448\u0438\u0440\u0443\u0435\u0442 \u043e\u0442\u0432\u0435\u0442\u044b OCSP \u0440\u0435\u0441\u043f\u043e\u043d\u0434\u0435\u0440\u0430.<\/li>\n<\/ul>\n<p>\u0421\u0430\u043c \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442 \u043e\u0431\u043d\u043e\u0432\u0438\u043b\u0441\u044f \u0441 RFC 1510 \u0434\u043e <a href=\"http:\/\/www.ietf.org\/rfc\/rfc4120\">RFC 4120<\/a>. \u041f\u0443\u043d\u043a\u0442, \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u0432\u0448\u0438\u0439 \u0432 RFC 1510 \u0440\u0430\u0437\u0440\u0435\u0448\u0451\u043d\u043d\u044b\u0435 \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u044b \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0431\u044b\u043b \u0432\u044b\u043d\u0435\u0441\u0435\u043d \u0432 2 \u043d\u043e\u0432\u044b\u0445 \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u0430 \u2013 <a href=\"http:\/\/www.ietf.org\/rfc\/rfc3961\">RFC 3961<\/a> \u0438 <a href=\"http:\/\/www.ietf.org\/rfc\/rfc3962\">RFC 3962<\/a>. OCSP Stapling \u043e\u043f\u0438\u0441\u0430\u043d \u0432 <a href=\"http:\/\/tools.ietf.org\/rfc\/rfc4557.txt\">RFC 4557<\/a>.<\/p>\n<p>\u0418\u0437 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e\u0433\u043e \u043e\u0442\u043d\u043e\u0441\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u043e\u0432 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f:<\/p>\n<blockquote><p>The following encryption and checksum mechanisms MUST be supported:<\/p>\n<p>Encryption: <span style=\"text-decoration: underline;\">AES256-CTS-HMAC-SHA1-96<\/span> [RFC3962]<br \/>\nChecksums: <span style=\"text-decoration: underline;\">HMAC-SHA1-96-AES256<\/span> [RFC3962]<\/p>\n<p>The following mechanisms from [RFC3961] and [RFC3962] SHOULD be supported:<\/p>\n<p>Encryption: <span style=\"text-decoration: underline;\">AES128-CTS-HMAC-SHA1-96, DES-CBC-MD5, DES3-CBC-SHA1-KD<\/span><br \/>\nChecksums: <span style=\"text-decoration: underline;\">DES-MD5, HMAC-SHA1-DES3-KD, HMAC-SHA1-96-AES128<\/span><\/p><\/blockquote>\n<p>\u041e\u0442\u043d\u043e\u0441\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043f\u0440\u043e\u0446\u0435\u0434\u0443\u0440\u044b \u043f\u0440\u0435\u0434\u0432\u0430\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438:<\/p>\n<blockquote><p>The PA-ENC-TIMESTAMP method MUST be supported by clients, but whether it is enabled by default MAY be determined on a realm-by-realm basis.\u00a0If the method is not used in the initial request and the error KDC_ERR_PREAUTH_REQUIRED is returned specifying PA-ENC-TIMESTAMP as an acceptable method, the client SHOULD retry the initial request using the PA-ENC-TIMESTAMP pre-authentication method.<\/p><\/blockquote>\n<p>\u042d\u0442\u0430 \u043f\u0440\u043e\u0446\u0435\u0434\u0443\u0440\u0430 \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u0430 \u0432 Windows Server 2008\/Windows Vista.<\/p>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043d\u0435\u043c\u043d\u043e\u0433\u043e \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435 \u043d\u0430 \u0443\u043b\u0443\u0447\u0448\u0435\u043d\u0438\u044f.<\/p>\n<p>\u0412 \u0441\u0432\u043e\u0439\u0441\u0442\u0432\u0430\u0445 \u0443\u0447\u0451\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438 \u043f\u043e\u044f\u0432\u0438\u043b\u0438\u0441\u044c 2 \u043d\u043e\u0432\u044b\u0445 \u043f\u0443\u043d\u043a\u0442\u0430, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 AES:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-2414 alignnone\" src=\"http:\/\/www.buldakov.ru\/wp-content\/uploads\/2013\/07\/kerb01.png\" alt=\"kerb01\" width=\"387\" height=\"121\" \/><\/p>\n<p>\u0420\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043e \u0437\u0430 \u0441\u0447\u0451\u0442 \u043d\u043e\u0432\u043e\u0433\u043e \u0430\u0442\u0442\u0440\u0438\u0431\u0443\u0442\u0430 <a href=\"http:\/\/msdn.microsoft.com\/en-us\/library\/cc220375.aspx\">msDS-SupportedEncryptionType<\/a>.<\/p>\n<p>\u0427\u0442\u043e \u043e\u0437\u043d\u0430\u0447\u0430\u044e\u0442 \u044d\u0442\u0438 \u0433\u0430\u043b\u043a\u0438? \u041f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e \u043e\u043d\u0438 \u043d\u0435 \u0432\u044b\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u044b \u0438 \u0432 \u0443\u0447\u0451\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438 msDS-SupportedEncryptionType \u043d\u0435 \u0437\u0430\u0434\u0430\u043d. \u042d\u0442\u043e \u0437\u043d\u0430\u0447\u0438\u0442, \u0447\u0442\u043e \u043f\u0440\u0438 \u0437\u0430\u043f\u0440\u043e\u0441\u0435 \u0441\u0435\u0440\u0432\u0438\u0441\u043d\u043e\u0433\u043e \u0431\u0438\u043b\u0435\u0442\u0430 (\u0441\u0435\u0440\u0432\u0438\u0441 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0441\u044f \u0432 \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u0435 \u0443\u0447\u0451\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438), \u043f\u043e-\u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e \u0434\u043b\u044f \u0435\u0433\u043e \u0448\u0438\u0444\u0440\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0431\u0443\u0434\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f RC4. \u041f\u0440\u0438 \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0438 \u044d\u0442\u0438\u0445 \u043e\u043f\u0446\u0438\u0439 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0439 \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0431\u0443\u0434\u0435\u0442 \u0434\u043e\u0431\u0430\u0432\u043b\u0435\u043d \u0432 \u0441\u043f\u0438\u0441\u043e\u043a \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u043c\u044b\u0445 \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u043e\u0432 \u043f\u0440\u0438 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u0438 \u0441\u0435\u0440\u0432\u0438\u0441\u043d\u043e\u0433\u043e \u0431\u0438\u043b\u0435\u0442\u0430.<\/p>\n<p>\u041f\u0440\u043e\u0446\u0435\u0434\u0443\u0440\u0430 \u0437\u0430\u043f\u0440\u043e\u0441\u0430 TGT \u0443\u0432\u0435\u043b\u0438\u0447\u0438\u043b\u0430\u0441\u044c \u043d\u0430 \u0434\u0432\u0430 \u0448\u0430\u0433\u0430. \u0422\u0435\u043f\u0435\u0440\u044c, \u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e, \u043a\u043b\u0438\u0435\u043d\u0442 Windows Server 2008\/Windows Vista \u0432 \u043f\u0435\u0440\u0432\u043e\u043c \u0437\u0430\u043f\u0440\u043e\u0441\u0435 AS-REQ\u00a0\u041d\u0415 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 \u0432 \u043f\u043e\u043b\u0435 paData \u043c\u0435\u0442\u043e\u0434 PA-ENC-TIMESTAMP \u0441\u043e \u0448\u0442\u0430\u043c\u043f\u043e\u043c \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u0438 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u043a\u043b\u0438\u0435\u043d\u0442\u0430, \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u043c \u0445\u0435\u0448\u0435\u043c \u043f\u0430\u0440\u043e\u043b\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f.<\/p>\n<pre class=\"brush: plain; highlight: [5,6]; title: ; notranslate\" title=\"\">\r\n- Kerberos: AS Request Cname: user Realm: testlab Sname: krbtgt\/testlab&lt;\/pre&gt;\r\n\r\n  - AsReq: Kerberos AS Request\r\n   - KdcReq: KRB_AS_REQ (10)\r\n    - PaData:\r\n     + SequenceOfHeader:\r\n     + PaData: PA-PAC-REQUEST (128)\r\n<\/pre>\n<p>\u0412 \u043e\u0442\u0432\u0435\u0442 KDC \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u0435\u0442 KRB_ERROR c KDC_ERR_PREAUTH_REQUIRED (\u0442\u0430\u043a \u043a\u0430\u043a \u043f\u043e-\u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e \u043f\u0440\u0435\u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f \u0434\u043e\u043b\u0436\u043d\u0430 \u0431\u044b\u0442\u044c \u043f\u0440\u043e\u0439\u0434\u0435\u043d\u0430), \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u043c\u0435\u0442\u043e\u0434 PA-ETYPE-INFO2 \u0441 \u0443\u043a\u0430\u0437\u0430\u043d\u0438\u0435\u043c \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u043e\u0432 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442 KDC.<\/p>\n<pre class=\"brush: plain; highlight: [5,8,10,12,14]; title: ; notranslate\" title=\"\">\r\n- Kerberos: KRB_ERROR\u00a0 - KDC_ERR_PREAUTH_REQUIRED (25)\r\n  - KrbError: KRB_ERROR (30)\r\n   - EData:\r\n    - MethodData:\r\n     - Padata: PA-ETYPE-INFO2 (19)\r\n      - PaEtypeInfo2:\r\n       - EtypeInfo2Entry:\r\n        + Etype: aes256-cts-hmac-sha1-96 (18)\r\n       - EtypeInfo2Entry:\r\n        + Etype: rc4-hmac (23)\r\n       - EtypeInfo2Entry:\r\n        + Etype: des-cbc-md5 (3)\r\n       - EtypeInfo2Entry:\r\n        + Etype: des-cbc-crc (1)\r\n     + Padata: PA-ENC-TIMESTAMP (2)\r\n     + Padata: PA-PK-AS-REQ (16)\r\n     + Padata: PA-PK-AS-REP_OLD\/ PA_PK_AS_REQ_WINDOWS_OLD\/ PA_PK_AS_REP_WINDOWS_OLD (15)\r\n<\/pre>\n<p>\u041a\u043b\u0438\u0435\u043d\u0442 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 AS-REQ \u043f\u043e\u0432\u0442\u043e\u0440\u043d\u043e. \u0412 \u044d\u0442\u043e\u0442 \u0440\u0430\u0437 \u0432 \u0437\u0430\u043f\u0440\u043e\u0441\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f PA-ENC-TIMESTAMP \u0441 \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u043c \u0432\u0440\u0435\u043c\u0435\u043d\u0435\u043c. \u0414\u043b\u044f \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0432\u044b\u0431\u0438\u0440\u0430\u0435\u0442\u0441\u044f \u0441\u0430\u043c\u044b\u0439 \u0441\u0438\u043b\u044c\u043d\u044b\u0439 \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c \u0438\u0437 \u0442\u0435\u0445, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u0440\u0438\u0441\u043b\u0430\u043b \u0441\u0435\u0440\u0432\u0435\u0440 \u043d\u0430 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0435\u043c \u0448\u0430\u0433\u0435 (\u0432 \u043d\u0430\u0448\u0435\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u044d\u0442\u043e AES256).<\/p>\n<pre class=\"brush: plain; highlight: [8,11,12,13,14,15,16,17]; title: ; notranslate\" title=\"\">\r\n- Kerberos: AS Request Cname: user Realm: testlab Sname: krbtgt\/testlab\r\n  - AsReq: Kerberos AS Request\r\n   - KdcReq: KRB_AS_REQ (10)\r\n    - PaData:\r\n     - PaData: PA-ENC-TIMESTAMP (2)\r\n      - KrbEncTimestamp: Encrypted Timestamp Pre-authentication\r\n       - PaEncTsEnc:\r\n        + EType: aes256-cts-hmac-sha1-96 (18)\r\n   - ReqBody:\r\n    - Etype:\r\n     + EType: aes256-cts-hmac-sha1-96 (18)\r\n     + EType: aes128-cts-hmac-sha1-96 (17)\r\n     + EType: rc4-hmac (23)\r\n     + EType: des-cbc-md5 (3)\r\n     + EType: des-cbc-crc (1)\r\n     + EType: rc4-hmac-exp (24)\r\n     + EType: Unknown Encryption Type (0xff79)\r\n<\/pre>\n<p>\u041a\u0440\u043e\u043c\u0435 \u044d\u0442\u043e\u0433\u043e \u0432 \u0442\u0435\u043b\u0435 \u0437\u0430\u043f\u0440\u043e\u0441\u0430 (ReqBody) \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442\u0441\u044f \u043f\u043e\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u044c \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u043c\u044b\u0445 \u043a\u043b\u0438\u0435\u043d\u0442\u043e\u043c \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u043e\u0432 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f (\u043a\u0430\u043a \u043e\u043f\u0438\u0441\u0430\u043d\u043e \u0432 <a href=\"http:\/\/tools.ietf.org\/rfc\/rfc4537.txt\">RFC 4537<\/a>). \u0412 \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u043c \u0431\u0443\u0434\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0441\u044f \u043d\u0430\u0438\u0431\u043e\u043b\u0435\u0435 \u0441\u0438\u043b\u044c\u043d\u044b\u0439 \u0438\u0437 \u0442\u0435\u0445, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u044e\u0442 \u0438 \u043a\u043b\u0438\u0435\u043d\u0442 \u0438 KDC (\u0432 \u0441\u043b\u0443\u0447\u0430\u0435 \u0441 Vista\/Server 2008 \u044d\u0442\u043e \u0431\u0443\u0434\u0435\u0442 AES 256 \u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e). \u041f\u0440\u043e\u0446\u0435\u0434\u0443\u0440\u0430 \u0441\u043e\u0433\u043b\u0430\u0441\u043e\u0432\u0430\u043d\u0438\u044f \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u043e\u0432 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043e\u0447\u0435\u043d\u044c \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e \u043e\u043f\u0438\u0441\u0430\u043d\u0430 <a href=\"http:\/\/blogs.msdn.com\/b\/openspecification\/archive\/2010\/11\/17\/encryption-type-selection-in-kerberos-exchanges.aspx\">\u0437\u0434\u0435\u0441\u044c<\/a>.<\/p>\n<h3>Windows Server 2008 R2\/Windows 7<\/h3>\n<p>\u0423\u043b\u0443\u0447\u0448\u0435\u043d\u0438\u044f \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 (\u0432\u0437\u044f\u0442\u043e <a href=\"http:\/\/technet.microsoft.com\/en-us\/library\/dd560670(v=ws.10).aspx\">\u0437\u0434\u0435\u0441\u044c<\/a>, <a href=\"http:\/\/technet.microsoft.com\/en-us\/library\/hh920181(v=ws.10).aspx\">\u0437\u0434\u0435\u0441\u044c<\/a> \u0438 <a href=\"http:\/\/technet.microsoft.com\/en-us\/library\/configure-kerberos-forest-search-order-kfso(v=ws.10).aspx\">\u0437\u0434\u0435\u0441\u044c<\/a>):<\/p>\n<ul>\n<li>\u0410\u043b\u0433\u043e\u0440\u0438\u0442\u043c \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f <span style=\"text-decoration: underline;\">DES \u043f\u043e-\u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e \u0432\u044b\u043a\u043b\u044e\u0447\u0435\u043d<\/span>. \u0418\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f AES256-CTS-HMAC-SHA1-96, AES128-CTS-HMAC-SHA1-96, RC4-HMAC.<\/li>\n<li><span style=\"text-decoration: underline;\">\u041f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0430 ECC<\/span> (elliptic curve cryptography) \u043f\u0440\u0438 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u043f\u043e \u0441\u043c\u0430\u0440\u0442-\u043a\u0430\u0440\u0442\u0430\u043c, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0449\u0438\u043c \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u044b X.509. \u041a\u0430\u043a\u0438\u0445 \u043b\u0438\u0431\u043e \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u043d\u0430\u0441\u0442\u0440\u043e\u0435\u043a \u043d\u0435\u0442. \u041d\u043e \u043e\u0431\u043e\u0440\u0443\u0434\u043e\u0432\u0430\u043d\u0438\u0435 \u0434\u043e\u043b\u0436\u043d\u043e \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0442\u044c ECC.<\/li>\n<li><span style=\"text-decoration: underline;\">Forest Search Order<\/span>. \u041f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u043c\u0435\u0436\u0434\u0443 \u0440\u0430\u0437\u043d\u044b\u043c\u0438 \u043b\u0435\u0441\u0430\u043c\u0438 (\u043e\u0431\u043b\u0430\u0441\u0442\u044f\u043c\u0438 Kerberos) \u043f\u043e \u043a\u043e\u0440\u043e\u0442\u043a\u0438\u043c \u0438\u043c\u0435\u043d\u0430\u043c (\u043b\u0435\u0441\u0430).<\/li>\n<\/ul>\n<p>\u041e\u0442\u043a\u0430\u0437 \u043e\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f DES (\u0438 \u0447\u0430\u0441\u0442\u0438 \u0434\u0440\u0443\u0433\u0438\u0445 \u0441\u043b\u0430\u0431\u044b\u0445 \u043a\u0440\u0438\u043f\u0442\u043e\u0433\u0440\u0430\u0444\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u043e\u0432) \u043f\u0440\u043e\u043f\u0438\u0441\u0430\u043d \u0432 <a href=\"http:\/\/www.ietf.org\/rfc\/rfc6649.txt\">RFC 6649<\/a>. \u0412\u043f\u0440\u043e\u0447\u0435\u043c, Windows \u043d\u0438\u043a\u043e\u0433\u0434\u0430 \u043d\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0430 DES, \u0435\u0441\u043b\u0438 \u044d\u0442\u043e \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u043d\u0435 \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u043b\u043e\u0441\u044c\u00a0\u0447\u0435\u0440\u0435\u0437 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0439 \u0430\u0442\u0442\u0440\u0438\u0431\u0443\u0442 \u0443\u0447\u0451\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438. \u0411\u043e\u043b\u0435\u0435 \u0441\u0442\u0430\u0440\u044b\u0435 \u0432\u0435\u0440\u0441\u0438\u0438 (Windows 2000\/2003\/XP) \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438 RC4, \u043d\u043e\u0432\u044b\u0435 (Windows 2008\/Vista\/2008R2\/7) \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 AES. \u041f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0430 ECC \u043e\u043f\u0438\u0441\u0430\u043d\u0430 \u0432 <a href=\"http:\/\/tools.ietf.org\/rfc\/rfc5349.txt\">RFC 5349<\/a>.<\/p>\n<p>\u041f\u0440\u0438 \u043f\u043e\u0434\u043d\u044f\u0442\u0438\u0438 \u0443\u0440\u043e\u0432\u043d\u044f \u0434\u043e\u043c\u0435\u043d\u0430 \u0434\u043e Windows Server 2008 R2 \u043d\u0435\u043c\u043d\u043e\u0433\u043e \u043c\u0435\u043d\u044f\u0435\u0442\u0441\u044f \u043f\u0440\u043e\u0446\u0435\u0434\u0443\u0440\u0430 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0438 \u0430\u0442\u0442\u0440\u0438\u0431\u0443\u0442\u0430 msDS-SupportedEncryptionType. \u0415\u0441\u043b\u0438 \u043e\u043d \u043f\u0443\u0441\u0442\u043e\u0439 (\u043f\u043e-\u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e), \u0442\u043e \u043f\u0440\u0438 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u0438 \u0441\u0435\u0440\u0432\u0438\u0441\u043d\u043e\u0433\u043e \u0431\u0438\u043b\u0435\u0442\u0430 \u0431\u0443\u0434\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f AES (\u0430 \u043d\u0435 RC4, \u043a\u0430\u043a \u0432 \u0441\u043b\u0443\u0447\u0430\u0435 \u0441 Windows Server 2008).<\/p>\n<p>\u0412 \u0433\u0440\u0443\u043f\u043f\u043e\u0432\u044b\u0445 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0430\u0445 \u043f\u043e\u044f\u0432\u0438\u043b\u0438\u0441\u044c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u043a\u043b\u044e\u0447\u0438 \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 Kerberos:<\/p>\n<ul>\n<li>Use forest search order<\/li>\n<li>Require strict target SPN match on remote procedure calls<\/li>\n<\/ul>\n<p>\u0412 \u043f\u0435\u0440\u0432\u043e\u043c \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u043e\u0431\u043b\u0430\u0441\u0442\u0438 Kerberos, \u0432 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0431\u0443\u0434\u0435\u0442 \u0432\u0435\u0441\u0442\u0438\u0442\u044c \u043f\u043e\u0438\u0441\u043a \u043f\u0440\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0438 \u043a\u043e\u0440\u043e\u0442\u043a\u043e\u0433\u043e \u0438\u043c\u0435\u043d\u0438 \u043e\u0431\u043b\u0430\u0441\u0442\u0438. \u041f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435 \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c <a href=\"http:\/\/technet.microsoft.com\/en-us\/library\/hh920181(v=ws.10).aspx\">\u0437\u0434\u0435\u0441\u044c<\/a>.<\/p>\n<p>\u041a\u0440\u043e\u043c\u0435 \u044d\u0442\u043e\u0433\u043e \u043f\u043e\u044f\u0432\u0438\u043b\u0430\u0441\u044c \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u0430\u044f \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u043c\u043e\u0436\u043d\u043e \u0432\u044b\u0431\u0440\u0430\u0442\u044c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0435 \u041a\u0435\u0440\u0431\u0435\u0440\u043e\u0441\u043e\u043c \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u044b \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u2013 \u00abNetwork Security: Configure Encryption types allowed for Kerberos\u00bb:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-2431\" src=\"http:\/\/www.buldakov.ru\/wp-content\/uploads\/2013\/07\/kerb04.png\" alt=\"kerb04\" width=\"763\" height=\"569\" \/><\/p>\n<p>\u0415\u0441\u043b\u0438 \u044d\u0442\u0430 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 \u043d\u0435 \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u0430, \u0442\u043e \u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e \u0431\u0443\u0434\u0443\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f AES \u0438 RC4 (DES \u043f\u043e-\u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e \u0432\u044b\u043a\u043b\u044e\u0447\u0435\u043d, \u043a\u0430\u043a \u044f \u043f\u0438\u0441\u0430\u043b \u0432\u044b\u0448\u0435). \u0412\u043a\u043b\u044e\u0447\u0430\u044f \u044d\u0442\u0443 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443, \u043c\u043e\u0436\u043d\u043e \u0437\u0430\u0434\u0435\u0439\u0441\u0442\u0432\u043e\u0432\u0430\u0442\u044c \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u044b\u0439 \u043d\u0430\u0431\u043e\u0440 \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u043e\u0432 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0434\u043b\u044f \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0430 \u041a\u0435\u0440\u0431\u0435\u0440\u043e\u0441.<\/p>\n<p>\u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043c\u043e\u0436\u043d\u043e \u0441\u0438\u043b\u044c\u043d\u043e \u0437\u0430\u0442\u044f\u043d\u0443\u0442\u044c \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c, \u0432\u043a\u043b\u044e\u0447\u0438\u0432 \u0442\u043e\u043b\u044c\u043a\u043e AES256_HMAC_SHA1 (\u043d\u0435 \u0437\u0430\u0431\u044b\u0432\u0430\u0435\u043c, \u0447\u0442\u043e \u044d\u0442\u043e \u043f\u0440\u0438\u0432\u0435\u0434\u0451\u0442 \u043a \u0442\u043e\u043c\u0443, \u0447\u0442\u043e \u043a\u043b\u0438\u0435\u043d\u0442\u044b, \u043d\u0435 \u0437\u043d\u0430\u044e\u0449\u0438\u0435 \u043f\u0440\u043e AES, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 Windows XP, \u043d\u0435 \u0441\u043c\u043e\u0433\u0443\u0442 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0432 \u0434\u043e\u043c\u0435\u043d\u0435). \u0412 \u044d\u0442\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u0447\u0438\u0441\u043b\u043e \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u043e\u0432 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0441\u0438\u043b\u044c\u043d\u043e \u0443\u043c\u0435\u043d\u044c\u0448\u0438\u0442\u0441\u044f. KRB_ERROR \u0432\u0435\u0440\u043d\u0451\u0442:<\/p>\n<pre class=\"brush: plain; highlight: [8,10]; title: ; notranslate\" title=\"\">\r\n- Kerberos: KRB_ERROR\u00a0 - KDC_ERR_PREAUTH_REQUIRED (25)\r\n  - KrbError: KRB_ERROR (30)\r\n   - EData:\r\n    - MethodData:\r\n     - Padata: PA-ETYPE-INFO2 (19)\r\n      - PaEtypeInfo2:\r\n       - EtypeInfo2Entry:\r\n        + Etype: aes256-cts-hmac-sha1-96 (18)\r\n       - EtypeInfo2Entry:\r\n        + Etype: des-cbc-md5 (3)\r\n<\/pre>\n<p>\u041f\u0440\u0438 \u0437\u0430\u043f\u0440\u043e\u0441\u0435 \u0431\u0438\u043b\u0435\u0442\u0430 \u043a host\/srv \u043a\u043b\u0438\u0435\u043d\u0442 \u044f\u0432\u043d\u043e \u0437\u0430\u044f\u0432\u0438\u0442 \u0432 EType \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u0440\u043e \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0443 AES:<\/p>\n<pre class=\"brush: plain; highlight: [6]; title: ; notranslate\" title=\"\">\r\n- Kerberos: TGS Request Realm: TESTLAB.ORG Sname: host\/windows7.testlab.org\r\n  - TgsReq: Kerberos TGS Request\r\n   - KdcReq: KRB_TGS_REQ (12)\r\n    - ReqBody:\r\n     - Etype:\r\n      + EType: aes256-cts-hmac-sha1-96 (18)\r\n<\/pre>\n<h3>Windows Server 2012\/Windows 8<\/h3>\n<p>\u0423\u043b\u0443\u0447\u0448\u0435\u043d\u0438\u044f \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 (\u0432\u0437\u044f\u0442\u043e <a href=\"http:\/\/technet.microsoft.com\/en-us\/library\/hh831747.aspx\">\u0437\u0434\u0435\u0441\u044c<\/a> \u0438 <a href=\"http:\/\/technet.microsoft.com\/en-us\/library\/hh831477.aspx\">\u0437\u0434\u0435\u0441\u044c<\/a>):<\/p>\n<ul>\n<li><span style=\"text-decoration: underline;\">Kerberos Armoring<\/span> (Flexible Authentication Secure Tunneling, FAST). \u041c\u0435\u0445\u0430\u043d\u0438\u0437\u043c \u0437\u0430\u0449\u0438\u0442\u044b \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u0432 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0435 \u043f\u0440\u0435\u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438. \u041e\u043f\u0438\u0441\u0430\u043d \u0432 \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u0435 <a href=\"http:\/\/www.ietf.org\/rfc\/rfc6113.txt\">RFC 6113<\/a>. \u041f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0437\u0430\u0449\u0438\u0449\u0430\u0442\u044c KRB_AS_REQ\/KRB_ERROR \u0441\u0435\u0441\u0441\u0438\u043e\u043d\u043d\u044b\u043c \u043a\u043b\u044e\u0447\u0451\u043c \u0440\u0430\u0431\u043e\u0447\u0435\u0439 \u0441\u0442\u0430\u043d\u0446\u0438\u0438, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f. \u041f\u0440\u0438 \u044d\u0442\u043e\u043c, \u0441\u043b\u0435\u0434\u0443\u0435\u0442 \u043f\u043e\u043c\u043d\u0438\u0442\u044c, \u0447\u0442\u043e \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c \u043d\u0435 \u043f\u0440\u0438\u043c\u0435\u043d\u0438\u043c \u043a \u0437\u0430\u0449\u0438\u0442\u0435 \u043f\u0440\u043e\u0446\u0435\u0434\u0443\u0440\u044b \u043f\u0440\u0435\u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u043a\u0430\u0446\u0438\u0438 \u0441\u0430\u043c\u043e\u0439 \u0440\u0430\u0431\u043e\u0447\u0435\u0439 \u0441\u0442\u0430\u043d\u0446\u0438\u0438.<\/li>\n<li><span style=\"text-decoration: underline;\">\u041e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u043d\u043e\u0435 \u0434\u0435\u043b\u0435\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 (constrained delegation) \u0432 \u0440\u0430\u0437\u043d\u044b\u0445 \u0434\u043e\u043c\u0435\u043d\u0430\u0445\/\u043b\u0435\u0441\u0430\u0445<\/span>. \u041f\u0440\u043e\u0446\u0435\u0434\u0443\u0440\u0430 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u043d\u043e\u0433\u043e \u0434\u0435\u043b\u0435\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0431\u044b\u043b\u0430 \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u0430 \u0435\u0449\u0451 \u0432 Windows Server 2003 \u0437\u0430 \u0441\u0447\u0451\u0442 \u0432\u0432\u0435\u0434\u0435\u043d\u0438\u044f \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0433\u043e \u0430\u0442\u0442\u0440\u0438\u0431\u0443\u0442\u0430 msDS-AllowedToDelegateTo. \u041d\u043e \u0431\u044b\u043b\u043e \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0436\u0451\u0441\u0442\u043a\u043e\u0435 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u0435 \u2013 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c \u0440\u0430\u0431\u043e\u0442\u0430\u043b \u0442\u043e\u043b\u044c\u043a\u043e \u0432 \u0440\u0430\u043c\u043a\u0430\u0445 \u043e\u0434\u043d\u043e\u0433\u043e \u0434\u043e\u043c\u0435\u043d\u0430. \u0412 Windows Server 2012 \u044d\u0442\u043e \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u0435 \u0441\u043d\u044f\u0442\u043e. \u0411\u043e\u043b\u0435\u0435 \u0442\u043e\u0433\u043e, \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u0438 \u0437\u0430 \u043f\u0440\u0435\u0434\u0435\u043b\u0430\u043c\u0438 \u043e\u0434\u043d\u043e\u0433\u043e \u043b\u0435\u0441\u0430. \u0422\u043e \u0435\u0441\u0442\u044c, \u0444\u0440\u043e\u043d\u0442-\u044d\u043d\u0434 \u0438 \u0431\u044d\u043a-\u044d\u043d\u0434 \u043c\u043e\u0433\u0443\u0442 \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u044c\u0441\u044f \u0432 \u0440\u0430\u0437\u043d\u044b\u0445 \u043b\u0435\u0441\u0430\u0445. \u041d\u043e\u0432\u044b\u0439 \u0430\u0442\u0442\u0440\u0438\u0431\u0443\u0442 msDS-AllowedToActOnBehalfOfOtherIdentity \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0437\u0430 \u043d\u043e\u0432\u044b\u0439 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u0440\u0430\u0431\u043e\u0442\u044b \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u043d\u043e\u0433\u043e \u0434\u0435\u043b\u0435\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f. \u041f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435 <a href=\"http:\/\/windowsitpro.com\/security\/how-windows-server-2012-eases-pain-kerberos-constrained-delegation-part-1\">\u0437\u0434\u0435\u0441\u044c<\/a> \u0438 <a href=\"http:\/\/windowsitpro.com\/security\/how-windows-server-2012-eases-pain-kerberos-constrained-delegation-part-2\">\u0437\u0434\u0435\u0441\u044c<\/a>.<\/li>\n<li><span style=\"text-decoration: underline;\">\u041f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0430 \u0443\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0438\u0439 (claims)<\/span> \u2013 \u043d\u043e\u0432\u043e\u0433\u043e \u0442\u0438\u043f\u0430 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u043f\u043e\u043c\u0438\u043c\u043e \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u0442\u0438\u043f\u0430 \u043b\u043e\u0433\u0438\u043d\u0430\/\u043f\u0430\u0440\u043e\u043b\u044f \u0431\u043e\u043b\u0435\u0435 \u0448\u0438\u0440\u043e\u043a\u0438\u0439 \u043d\u0430\u0431\u043e\u0440 \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u0438 \u043f\u0440\u0430\u0432\u0438\u043b \u0434\u043e\u0441\u0442\u0443\u043f\u0430. \u041f\u043e\u0434\u0440\u043e\u0431\u043d\u043e \u043e claim\u2019\u0430\u0445 \u0438 \u043e \u0442\u043e\u043c, \u043a\u0430\u043a \u0441 \u043d\u0438\u043c\u0438 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u043f\u0438\u0441\u0430\u043b \u0414\u043c\u0438\u0442\u0440\u0438\u0439 \u0411\u0443\u043b\u0430\u043d\u043e\u0432 <a href=\"http:\/\/dimanb.wordpress.com\/2012\/10\/26\/kerberos-03\/\">\u0437\u0434\u0435\u0441\u044c<\/a>, <a href=\"http:\/\/dimanb.wordpress.com\/2013\/04\/15\/dac-01\/\">\u0437\u0434\u0435\u0441\u044c<\/a> \u0438 <a href=\"http:\/\/dimanb.wordpress.com\/2013\/04\/25\/dac-02\/\">\u0437\u0434\u0435\u0441\u044c<\/a>.<\/li>\n<li><span style=\"text-decoration: underline;\">Compound authentication<\/span> \u2013 \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0435 FAST, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043a\u043b\u0438\u0435\u043d\u0442\u0430\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c TGT, \u0432\u044b\u0434\u0430\u043d\u043d\u044b\u0435 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430\u043c.<\/li>\n<li><span style=\"text-decoration: underline;\">\u0421\u0436\u0430\u0442\u0438\u0435 \u0440\u0435\u0441\u0443\u0440\u0441\u043d\u044b\u0445 \u0433\u0440\u0443\u043f\u043f<\/span>. \u0412 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0438\u0445 \u0432\u0435\u0440\u0441\u0438\u044f\u0445 Windows \u043f\u0440\u0438 \u0432\u044b\u043f\u0443\u0441\u043a\u0435 TGT \u043e\u043d \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u043b \u0432 \u043f\u043e\u043b\u0435 PAC \u043d\u0430\u0431\u043e\u0440 \u0443\u043d\u0438\u0432\u0435\u0440\u0441\u0430\u043b\u044c\u043d\u044b\u0445 \u0438 \u0433\u043b\u043e\u0431\u0430\u043b\u044c\u043d\u044b\u0445 \u0433\u0440\u0443\u043f\u043f, \u0432 \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0432\u0445\u043e\u0434\u0438\u043b \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c. \u041f\u0440\u0438 \u044d\u0442\u043e\u043c, \u043f\u0440\u043e\u0446\u0435\u0434\u0443\u0440\u0435 \u0441\u0436\u0430\u0442\u0438\u044f \u043f\u043e\u0434\u0432\u0435\u0440\u0433\u0430\u043b\u0438\u0441\u044c \u043e\u0431\u0449\u0438\u0435 \u0447\u0430\u0441\u0442\u0438 SID (SID Namespace) \u0433\u0440\u0443\u043f\u043f, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043d\u0430\u0445\u043e\u0434\u0438\u043b\u0438\u0441\u044c \u0432 \u0434\u043e\u043c\u0435\u043d\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f. \u0422\u043e \u0435\u0441\u0442\u044c \u043f\u043e \u0444\u0430\u043a\u0442\u0443 SID Namespace \u0445\u0440\u0430\u043d\u0438\u043b\u0441\u044f \u0442\u043e\u043b\u044c\u043a\u043e \u0432 \u043e\u0434\u043d\u043e\u043c \u044d\u043a\u0437\u0435\u043c\u043f\u043b\u044f\u0440\u0435. \u0412 Windows Server 2012 \u0441\u0436\u0438\u043c\u0430\u044e\u0442\u0441\u044f \u0442\u0430\u043a \u0436\u0435 \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u044b\u0435 \u0433\u0440\u0443\u043f\u043f\u044b \u0432 \u0440\u0435\u0441\u0443\u0440\u0441\u043d\u043e\u043c \u0434\u043e\u043c\u0435\u043d\u0435 \u0438 \u0433\u0440\u0443\u043f\u043f\u044b \u0438\u0437 SID History. \u041f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435 \u043e \u043f\u0440\u043e\u0446\u0435\u0434\u0443\u0440\u0435 \u0441\u0436\u0430\u0442\u0438\u044f \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c <a href=\"http:\/\/support.microsoft.com\/kb\/2774190\">\u0437\u0434\u0435\u0441\u044c<\/a>, <a href=\"http:\/\/blogs.dirteam.com\/blogs\/sanderberkouwer\/archive\/2013\/04\/05\/new-features-in-active-directory-domain-services-in-windows-server-2012-part-21-resource-sid-compression.aspx\">\u0437\u0434\u0435\u0441\u044c<\/a> \u0438 <a href=\"http:\/\/msincic.wordpress.com\/2012\/10\/28\/change-in-kerberos-of-windows-2012-may-cause-access-denied\/\">\u0437\u0434\u0435\u0441\u044c<\/a>. \u041f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e \u043e\u043d\u0430 \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u0430. \u041d\u043e \u0435\u0451 \u043c\u043e\u0436\u043d\u043e \u0432\u044b\u043a\u043b\u044e\u0447\u0438\u0442\u044c \u043d\u0430 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u0435 \u0434\u043e\u043c\u0435\u043d\u0430 \u0447\u0435\u0440\u0435\u0437 \u043a\u043b\u044e\u0447 \u0440\u0435\u0435\u0441\u0442\u0440\u0430 DisableResourceGroupsFields \u0432 HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemKdcParameters. \u041f\u0440\u0438 \u0435\u0434\u0438\u043d\u0438\u0446\u0435 \u0441\u0436\u0430\u0442\u0438\u0435 \u0432\u044b\u043a\u043b\u044e\u0447\u0435\u043d\u043e.<\/li>\n<li><span style=\"text-decoration: underline;\">\u0423\u0432\u0435\u043b\u0438\u0447\u0435\u043d\u0438\u0435 \u0440\u0430\u0437\u043c\u0435\u0440\u0430 \u0442\u043e\u043a\u0435\u043d\u0430<\/span>. \u0422\u043e\u043a\u0435\u043d \u0442\u0435\u043f\u0435\u0440\u044c \u043c\u043e\u0436\u043d\u043e \u0443\u0432\u0435\u043b\u0438\u0447\u0438\u0442\u044c \u0434\u043e 48\u041a\u0431. \u041b\u0438\u0431\u043e \u0447\u0435\u0440\u0435\u0437 \u043f\u0440\u0430\u0432\u043a\u0443 \u0440\u0435\u0435\u0441\u0442\u0440\u0430 (\u043a\u043b\u044e\u0447 MaxTokenSize \u0432 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaKerberosParameters), \u043b\u0438\u0431\u043e \u0447\u0435\u0440\u0435\u0437 \u0433\u0440\u0443\u043f\u043f\u043e\u0432\u044b\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438.<\/li>\n<\/ul>\n<p>\u0412 \u0433\u0440\u0443\u043f\u043f\u043e\u0432\u044b\u0445 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0430\u0445 \u043f\u043e\u044f\u0432\u0438\u043b\u0438\u0441\u044c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u043a\u043b\u044e\u0447\u0438, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 Kerberos:<\/p>\n<ul>\n<li>KDC support for claims, compound authentication and Kerberos armoring \u2013 \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0438 claim\u2019\u043e\u0432, compound authentication \u0438 Kerberos armoring \u043d\u0430 \u0441\u0442\u043e\u0440\u043e\u043d\u0435 KDC.<\/li>\n<li>Warning for large Kerberos tickets \u2013 \u0432\u043a\u043b\u044e\u0447\u0430\u0435\u0442 \u043f\u043e\u044f\u0432\u043b\u0435\u043d\u0438\u0435 \u043f\u0440\u0435\u0434\u0443\u043f\u0440\u0435\u0436\u0434\u0435\u043d\u0438\u0439 \u0432 \u043b\u043e\u0433\u0435 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u0430 \u0434\u043e\u043c\u0435\u043d\u0430, \u0432 \u0441\u043b\u0443\u0447\u0430\u0435 \u043a\u043e\u0433\u0434\u0430 \u0432 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0435 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u0431\u0443\u0434\u0443\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u0442\u043e\u043a\u0435\u043d\u044b \u0431\u043e\u043b\u044c\u0448\u0435 \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u043e\u0433\u043e \u0440\u0430\u0437\u043c\u0435\u0440\u0430.<\/li>\n<li>Specify KDC proxy servers for Kerberos clients \u2013 \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043f\u0440\u043e\u043a\u0441\u0438-\u0441\u0435\u0440\u0432\u0435\u0440\u044b KDC, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0434\u043e\u043b\u0436\u0435\u043d \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u043a\u043b\u0438\u0435\u043d\u0442, \u0435\u0441\u043b\u0438 \u043e\u043d \u043d\u0435 \u043c\u043e\u0436\u0435\u0442 \u043d\u0430\u0439\u0442\u0438 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440 \u0434\u043e\u043c\u0435\u043d\u0430.<\/li>\n<li>Disable revocation checking for the SSL certificate of KDC proxy servers \u2013 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043e\u0442\u043a\u043b\u044e\u0447\u0438\u0442\u044c \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443 \u0441\u043f\u0438\u0441\u043a\u0430 \u043e\u0442\u0437\u044b\u0432\u0430 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0432 SSL \u0434\u043b\u044f \u043f\u0440\u043e\u043a\u0441\u0438-\u0441\u0435\u0440\u0432\u0435\u0440\u043e\u0432 KDC.<\/li>\n<li>Fail authentication requests when Kerberos armoring is not available<\/li>\n<li>Support compound authentication \u2013 \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0438 \u0434\u043b\u044f compound authentication.<\/li>\n<li>Set maximum Kerberos SSPI context token buffer size \u2013 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0437\u0430\u0434\u0430\u0442\u044c \u043c\u0430\u043a\u0441\u0438\u043c\u0430\u043b\u044c\u043d\u044b\u0439 \u0440\u0430\u0437\u043c\u0435\u0440 \u0442\u043e\u043a\u0435\u043d\u0430.<\/li>\n<li>Kerberos client support for claims, compound authentication and Kerberos armoring \u2013 \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0438 claim\u2019\u043e\u0432, compound authentication \u0438 Kerberos armoring \u043d\u0430 \u0441\u0442\u043e\u0440\u043e\u043d\u0435 \u043a\u043b\u0438\u0435\u043d\u0442\u0430.<\/li>\n<\/ul>\n<p>\u041f\u0440\u043e\u0434\u043e\u043b\u0436\u0430\u044f \u0437\u0430\u043a\u0440\u0443\u0447\u0438\u0432\u0430\u0442\u044c \u0433\u0430\u0439\u043a\u0438 \u043f\u043e\u043f\u0440\u043e\u0431\u0443\u0435\u043c \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u044c Kerberos armoring \u0438 \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c \u0447\u0442\u043e \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u0441\u044f. \u041f\u043e-\u043f\u0440\u0435\u0436\u043d\u0435\u043c\u0443, \u0441\u043b\u0435\u0434\u0443\u0435\u0442 \u043f\u043e\u043c\u043d\u0438\u0442\u044c, \u0447\u0442\u043e \u0441\u0442\u0430\u0440\u044b\u0435 \u043a\u043b\u0438\u0435\u043d\u0442\u044b \u043e\u0442\u0432\u0430\u043b\u044f\u0442\u0441\u044f, \u0442\u0430\u043a \u043a\u0430\u043a \u043d\u0435 \u0443\u043c\u0435\u044e\u0442 \u0435\u0433\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c. \u0414\u043b\u044f \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f \u043d\u0430\u0434\u043e \u0437\u0430\u0434\u0435\u0439\u0441\u0442\u0432\u043e\u0432\u0430\u0442\u044c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u043a\u043b\u044e\u0447\u0438:<\/p>\n<ul>\n<li>KDC support for claims, compound authentication and Kerberos armoring \u2013 \u0434\u043e\u043b\u0436\u043d\u0430 \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0442\u044c\u0441\u044f \u043a \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u0430\u043c \u0434\u043e\u043c\u0435\u043d\u0430, \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0443\u044e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c Always provide claims<\/li>\n<li>Kerberos client support for claims, compound authentication and Kerberos armoring \u2013 \u0434\u043e\u043b\u0436\u043d\u0430 \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0442\u044c\u0441\u044f \u043a \u043a\u043b\u0438\u0435\u043d\u0442\u0430\u043c (\u0440\u0430\u0431\u043e\u0447\u0438\u043c \u0441\u0442\u0430\u043d\u0446\u0438\u044f\u043c \u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f\u043c)<\/li>\n<li>Fail authentication requests when Kerberos armoring is not available<\/li>\n<\/ul>\n<p>\u0414\u043b\u044f \u0442\u0435\u0441\u0442\u043e\u0432\u044b\u0445 \u0446\u0435\u043b\u0435\u0439 \u043c\u043e\u0436\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c Default Domain Policy, \u0432 \u0440\u0430\u0431\u043e\u0447\u0435\u043c \u043e\u043a\u0440\u0443\u0436\u0435\u043d\u0438\u0438 \u043a \u0432\u044b\u0431\u043e\u0440\u0443 \u043e\u0431\u044a\u0435\u043a\u0442\u043e\u0432 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u0441\u043b\u0435\u0434\u0443\u0435\u0442 \u043e\u0442\u043d\u0435\u0441\u0442\u0438\u0442\u044c \u0431\u043e\u043b\u0435\u0435 \u043e\u0441\u0442\u043e\u0440\u043e\u0436\u043d\u043e.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-2436\" src=\"http:\/\/www.buldakov.ru\/wp-content\/uploads\/2013\/07\/kerb05.png\" alt=\"kerb05\" width=\"594\" height=\"300\" \/><\/p>\n<p>\u0410\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f \u0434\u043b\u044f \u0440\u0430\u0431\u043e\u0447\u0435\u0439 \u0441\u0442\u0430\u043d\u0446\u0438\u0438 \u043f\u0440\u043e\u0439\u0434\u0451\u0442 \u0448\u0442\u0430\u0442\u043d\u043e, \u0430 \u0432\u043e\u0442 \u0441 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0435\u0439 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u043a\u0430\u0440\u0442\u0438\u043d\u0430 \u0431\u0443\u0434\u0435\u0442 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0430\u044f:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-2438\" src=\"http:\/\/www.buldakov.ru\/wp-content\/uploads\/2013\/07\/kerb06.png\" alt=\"kerb06\" width=\"773\" height=\"152\" \/><\/p>\n<p>\u041a\u0430\u043a\u043e\u0439 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u0438 \u043a \u043a\u0430\u043a\u043e\u043c\u0443 \u0441\u0435\u0440\u0432\u0438\u0441\u0443 \u043e\u0431\u0440\u0430\u0449\u0430\u0435\u0442\u0441\u044f \u043d\u0435 \u0432\u0438\u0434\u043d\u043e. \u0417\u0430\u0433\u043b\u044f\u043d\u0435\u043c \u0432 \u0441\u0430\u043c\u0438 \u043f\u0430\u043a\u0435\u0442\u044b.<\/p>\n<p>\u041f\u0435\u0440\u0432\u044b\u0439 AS-REQ:<\/p>\n<pre class=\"brush: plain; highlight: [5]; title: ; notranslate\" title=\"\">\r\n- Kerberos: AS Request\r\n  - AsReq: Kerberos AS Request\r\n   - KdcReq: KRB_AS_REQ (10)\r\n    - PaData:\r\n     - PaData: PA-FX-Fast (136)\r\n      - PaFxFastRequest:\r\n       - ArmoredData:\r\n        - Armor:\r\n         + ArmorType: FX_FAST_ARMOR_AP_REQUEST (1)\r\n<\/pre>\n<p>\u0412\u0438\u0434\u043d\u043e, \u0447\u0442\u043e \u0432 PaData \u043f\u043e\u043c\u0435\u0449\u0451\u043d \u0442\u043e\u043b\u044c\u043a\u043e \u043c\u0435\u0442\u043e\u0434 PA-FX-Fast, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u043e \u0444\u0430\u043a\u0442\u0443 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0441\u0435\u0441\u0441\u0438\u043e\u043d\u043d\u044b\u043c \u043a\u043b\u044e\u0447\u0451\u043c \u0440\u0430\u0431\u043e\u0447\u0435\u0439 \u0441\u0442\u0430\u043d\u0446\u0438\u0438 \u043d\u0430\u0431\u043e\u0440 \u0434\u0430\u043d\u043d\u044b\u0445, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u0440\u0438 \u0432\u044b\u043a\u043b\u044e\u0447\u0435\u043d\u043d\u043e\u043c Kerberos armoring \u043d\u0430\u0445\u043e\u0434\u044f\u0442\u0441\u044f \u0432 \u0442\u0435\u043b\u0435 \u0437\u0430\u043f\u0440\u043e\u0441\u0430 \u0432 \u043d\u0435\u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u043c \u0432\u0438\u0434\u0435 (\u0438\u043c\u044f \u043a\u043b\u0438\u0435\u043d\u0442\u0430, \u0441\u0435\u0440\u0432\u0438\u0441\u0430, \u043e\u0431\u043b\u0430\u0441\u0442\u044c Kerberos \u0438\u0442\u0434).<\/p>\n<p>\u0421\u043e\u0433\u043b\u0430\u0441\u043d\u043e RFC 6113 (\u043f.5.4.2) \u0432 AS-REQ PA-FX-Fast \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c:<\/p>\n<blockquote><p>PA-FX-FAST-REQUEST ::= CHOICE {armored-data [0] <strong>KrbFastArmoredReq<\/strong>,&#8230;}<\/p><\/blockquote>\n<p>\u0413\u0434\u0435 KrbFastArmoredReq \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442:<\/p>\n<blockquote><p>KrbFastArmoredReq ::= SEQUENCE {<br \/>\narmor\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 [0] KrbFastArmor OPTIONAL,<br \/>\n&#8212; Contains the armor that identifies the armor key.<br \/>\n&#8212; MUST be present in AS-REQ.<br \/>\nreq-checksum [1] Checksum,<br \/>\n&#8212; For AS, contains the checksum performed over the type<br \/>\n&#8212; KDC-REQ-BODY for the req-body field of the KDC-REQ<br \/>\n&#8212; structure;<br \/>\n&#8212; For TGS, contains the checksum performed over the type<br \/>\n&#8212; AP-REQ in the PA-TGS-REQ padata.<br \/>\n&#8212; The checksum key is the armor key, the checksum<br \/>\n&#8212; type is the required checksum type for the enctype of<br \/>\n&#8212; the armor key, and the key usage number is<br \/>\n&#8212; KEY_USAGE_FAST_REQ_CHKSUM.<br \/>\n<strong>enc-fast-req [2] EncryptedData, &#8212; KrbFastReq &#8212;<\/strong><br \/>\n&#8212; The encryption key is the armor key, and the key usage<br \/>\n&#8212; number is KEY_USAGE_FAST_ENC.<br \/>\n&#8230;<br \/>\n}<\/p><\/blockquote>\n<p>KrbFastReq \u044d\u0442\u043e:<\/p>\n<blockquote><p>KrbFastReq ::= SEQUENCE {<br \/>\nfast-options [0] FastOptions,<br \/>\n&#8212; Additional options.<br \/>\npadata\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 [1] SEQUENCE OF PA-DATA,<br \/>\n&#8212; padata typed holes.<br \/>\n<strong>req-body\u00a0\u00a0\u00a0\u00a0 [2] KDC-REQ-BODY,<\/strong><br \/>\n&#8212; Contains the KDC request body as defined in Section<br \/>\n&#8212; 5.4.1 of [RFC4120].<br \/>\n&#8212; This req-body field is preferred over the outer field<br \/>\n&#8212; in the KDC request.<br \/>\n&#8230;<br \/>\n}<\/p><\/blockquote>\n<p>\u0422\u043e \u0435\u0441\u0442\u044c \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c \u0437\u0430\u0449\u0438\u0442\u044b \u043f\u0440\u0435\u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445, \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0432 Windows Server 2012 \u043f\u043e\u043b\u043d\u043e\u0441\u0442\u044c\u044e \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u0435\u0442 RFC 6113. \u0412 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u043c \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u0438 \u0435\u0441\u0442\u044c \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b\u0439 \u043f\u0443\u043d\u043a\u0442 FastOption, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u043c, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043c\u043e\u0436\u043d\u043e \u0443\u043a\u0430\u0437\u0430\u0442\u044c, \u0447\u0442\u043e\u0431\u044b \u0434\u0430\u043d\u043d\u044b\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u043f\u0440\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0438 FAST \u043d\u0435 \u0441\u043a\u0440\u044b\u0432\u0430\u043b\u0438\u0441\u044c:<\/p>\n<blockquote><p>FastOptions ::= KerberosFlags<br \/>\n&#8212; reserved(0),<br \/>\n<strong>&#8212; hide-client-names(1)<\/strong><\/p><\/blockquote>\n<p>\u041d\u043e \u043f\u043e-\u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e, \u044d\u0442\u043e\u0433\u043e \u043d\u0435 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0438 KDC \u043f\u043e \u0444\u0430\u043a\u0442\u0443 \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u043f\u0435\u0440\u0432\u0438\u0447\u043d\u044b\u0439 \u0437\u0430\u043f\u0440\u043e\u0441 \u043a\u0430\u043a \u0437\u0430\u043f\u0440\u043e\u0441 \u043e\u0442 \u0430\u043d\u043e\u043d\u0438\u043c\u043d\u043e\u0433\u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f. \u041f\u0440\u043e\u0446\u0435\u0434\u0443\u0440\u0430 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0438 \u0442\u0430\u043a\u0438\u0445 \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432 \u043e\u043f\u0438\u0441\u0430\u043d\u0430 \u0432 <a href=\"http:\/\/www.ietf.org\/rfc\/rfc6112.txt\">RFC 6112<\/a>:<\/p>\n<blockquote><p>The Kerberos response defined in [RFC4120] contains the client identity in cleartext. This makes traffic analysis straightforward. <strong>The hide-client-names option is designed to complicate traffic analysis.<\/strong> If the hide-client-names option is set, the KDC implementing PA-FX-FAST MUST identify the client as the anonymous principal [RFC6112] in the KDC reply and the error response.<\/p><\/blockquote>\n<p>\u0427\u0442\u043e \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e, \u0432\u044b\u0441\u044b\u043b\u0430\u0435\u043c\u044b\u0439 \u0432 \u043e\u0442\u0432\u0435\u0442 \u043f\u0430\u043a\u0435\u0442 KRB_ERROR \u0442\u0430\u043a \u0436\u0435 \u043c\u0430\u043b\u043e\u0438\u043d\u0442\u0435\u0440\u0435\u0441\u0435\u043d \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0443, \u0442\u0430\u043a \u043a\u0430\u043a \u043e\u043d \u0442\u043e\u0436\u0435 \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d \u0438 \u0432\u0441\u0435 \u00ab\u043f\u043e\u043b\u0435\u0437\u043d\u044b\u0435\u00bb \u0434\u0430\u043d\u043d\u044b\u0435 \u043f\u0440\u044f\u0447\u0435\u0442 \u0432 \u044d\u0442\u043e\u043c \u0436\u0435 \u043c\u0435\u0442\u043e\u0434\u0435:<\/p>\n<pre class=\"brush: plain; highlight: [6]; title: ; notranslate\" title=\"\">\r\n- Kerberos: KRB_ERROR\u00a0 - KDC_ERR_PREAUTH_REQUIRED (25)\r\n  - KrbError: KRB_ERROR (30)\r\n   + ErrorCode: KDC_ERR_PREAUTH_REQUIRED (25)\r\n   - EData:\r\n    - MethodData:\r\n     - Padata: PA-FX-Fast (136)\r\n      - PaFxFastReply:\r\n       - ArmoredData:\r\n        - EncFastRep:\r\n         + EType: aes256-cts-hmac-sha1-96 (18)\r\n<\/pre>\n<p>\u0412\u043e\u0442 \u043a\u0430\u043a \u044d\u0442\u043e \u043e\u043f\u0438\u0441\u0430\u043d\u043e \u0432 RFC 6113:<\/p>\n<blockquote><p>The KDC <strong>MUST include all the padata elements<\/strong> such as PA-ETYPE-INFO2 and padata elements that indicate acceptable pre-authentication mechanisms [RFC4120] <strong>in the KrbFastResponse structure<\/strong>.<\/p><\/blockquote>\n<p>\u0421\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u0437\u0430\u043f\u0440\u043e\u0441\u044b\/\u043e\u0442\u0432\u0435\u0442\u044b \u0432\u044b\u0433\u043b\u044f\u0434\u044f\u0442 \u0442\u043e\u0447\u043d\u043e \u0442\u0430\u043a \u0436\u0435. \u0412\u0435\u0441\u044c \u043e\u0431\u043c\u0435\u043d \u0446\u0435\u043d\u043d\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0435\u0439 \u0438\u0434\u0451\u0442 \u0447\u0435\u0440\u0435\u0437 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043a\u0430\u043d\u0430\u043b, \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043c\u0435\u0442\u043e\u0434\u043e\u043c PA-FX-Fast.<\/p>\n<p><span style=\"text-decoration: underline;\">\u041f\u043e\u043b\u0435\u0437\u043d\u044b\u0435 \u0441\u0441\u044b\u043b\u043a\u0438<\/span>:<br \/>\n<a href=\"http:\/\/blogs.msdn.com\/b\/openspecification\/archive\/2010\/11\/17\/encryption-type-selection-in-kerberos-exchanges.aspx\">Encryption Type Selection in Kerberos Exchanges<\/a><br \/>\n<a href=\"http:\/\/blogs.msdn.com\/b\/openspecification\/archive\/2011\/05\/31\/windows-configurations-for-kerberos-supported-encryption-type.aspx\">Windows Configurations for Kerberos Supported encryption Type<\/a><br \/>\n<a href=\"http:\/\/blogs.technet.com\/b\/askds\/archive\/2008\/02\/22\/windows-logon-options-in-vista-2008-part-one-of-two.aspx\">Windows Logon Options in Vista\/2008: Part One of Two<\/a><br \/>\n<a href=\"http:\/\/support.microsoft.com\/kb\/947706\">Windows Server 2008 Group Policy settings for interoperability with non-Microsoft Kerberos realms<\/a><br \/>\n<a href=\"http:\/\/blogs.technet.com\/b\/askds\/archive\/2010\/10\/19\/hunting-down-des-in-order-to-securely-deploy-kerberos.aspx\">Hunting down DES in order to securely deploy Kerberos<\/a><br \/>\n<a href=\"http:\/\/windowsitpro.com\/security\/how-windows-server-2012-eases-pain-kerberos-constrained-delegation-part-1http:\/windowsitpro.com\/security\/how-windows-server-2012-eases-pain-kerberos-constrained-delegation-part-1\">How Windows Server 2012 Eases the Pain of Kerberos Constrained Delegation, Part 1<\/a><br \/>\n<a href=\"http:\/\/windowsitpro.com\/security\/how-windows-server-2012-eases-pain-kerberos-constrained-delegation-part-2\">How Windows Server 2012 Eases the Pain of Kerberos Constrained Delegation, Part 2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u041f\u0440\u043e\u0442\u043e\u043a\u043e\u043b Kerberos \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0445\u043e\u0440\u043e\u0448\u043e \u043e\u043f\u0438\u0441\u0430\u043d \u0432 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0435 \u00abHow the Kerberos Version 5 Authentication Protocol Works\u00bb. \u0420\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044f \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0430 Kerberos \u0432 Windows Server 2003 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0435\u0439 Microsoft \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0431\u043b\u0438\u0437\u043a\u0430 \u043a \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u0443 RFC 1510. \u0421 \u0442\u0435\u0445 \u043f\u043e\u0440 \u043f\u0440\u043e\u0448\u043b\u043e 10 \u043b\u0435\u0442. \u0423\u0441\u043f\u0435\u043b\u0438 \u0432\u044b\u0439\u0442\u0438 Windows Server 2008, 2008 R2, 2012, \u0433\u043e\u0442\u043e\u0432\u0438\u0442\u0441\u044f \u043a \u0432\u044b\u0445\u043e\u0434\u0443 Windows Server 2012 R2. \u0421\u0430\u043c \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442 \u043e\u0431\u043d\u043e\u0432\u0438\u043b\u0441\u044f \u0434\u043e [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3,9],"tags":[],"class_list":["post-2406","post","type-post","status-publish","format-standard","hentry","category-applications","category-windows"],"_links":{"self":[{"href":"https:\/\/www.buldakov.ru\/index.php?rest_route=\/wp\/v2\/posts\/2406","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.buldakov.ru\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.buldakov.ru\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.buldakov.ru\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.buldakov.ru\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2406"}],"version-history":[{"count":2,"href":"https:\/\/www.buldakov.ru\/index.php?rest_route=\/wp\/v2\/posts\/2406\/revisions"}],"predecessor-version":[{"id":2799,"href":"https:\/\/www.buldakov.ru\/index.php?rest_route=\/wp\/v2\/posts\/2406\/revisions\/2799"}],"wp:attachment":[{"href":"https:\/\/www.buldakov.ru\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2406"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.buldakov.ru\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2406"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.buldakov.ru\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2406"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}