![Page 1: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/1.jpg)
Kerberos: conceitos, melhores práticas e particularidades
Vladimir Michel Bacurau Magalhãestwitter | Blog | LinkedIn
Instrutor | Consultor | Administrador de Bancos de Dados MCT | MCITP | MOS | MCTS | MMI | ITIL V3 | COBIT V4.1 | ISO 27002
![Page 2: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/2.jpg)
2
Sobre PASS:
PASS Chapter & Virtual ChapterMais de 260 Organizações no nível Mundial + 20 Organizações Virtuais
SQLSaturday~200 Eventos no Mundo, um dia inteiro de treinamento livre sobre SQL Server
24 Hours of PASSEventos online, gratuítos. Existem edições locais (Português, Espanhol, Russo, … )
SQLRallyEventos regionais, pagos. (European Nordic, Rússia, …)
PASS SummitEvento pago de 3 dias + 2 dias de Workshops, conta com as equipas da Microsoft e
dos melhores Profissionais.
![Page 3: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/3.jpg)
3
Agenda
Formas de Autenticação
NTLM x Kerberos
Vantagens do Kerberos
Implementação
Troubleshooting e Ferramentas
![Page 4: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/4.jpg)
4
Formas de autenticação
SQL (Mixed-Mode) Windows (Trusted)
![Page 5: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/5.jpg)
5
Formas de autenticação
![Page 6: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/6.jpg)
6
Formas de autenticação
SQL (Mixed-Mode) Windows (Trusted)
Controle de acessos extra
Envia senha pela rede
Usuário admin (SA) conhecido
Acessos de domínios não confiáveis
Acesso customizado em aplicações
web
Controle unificado de acessos na rede
Não envia senha pela rede
Permite o controle por grupos
Acessa apenas domínios com
confiança
Maior número de políticas de controle
(ex: não permitir alterar senha)
![Page 7: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/7.jpg)
7
Formas de autenticação
Autenticação Windows, (Windows 2000 em diante):
Utiliza algoritmo Negotiate (SPNEGO)
SPNEGO permite que cliente e servidor negociem protocolo
de autenticação que será utilizado
Tenta por padrão Kerberos
Caso não consiga, utiliza NTLM (NTLM fallback)
![Page 8: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/8.jpg)
8
NTLM x Kerberos
NTLM
• Cliente envia nome de usuário para o servidor
• Servidor gera e envia um “desafio” para o cliente
• Cliente encripta o “desafio” utilizando a senha do usuário
• Cliente envia o “desafio” encriptado para o servidor
• Servidor envia resposta do cliente para o Controlador de
domínio
• Controlador de domínio valida resposta e envia resultado
para servidor
![Page 9: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/9.jpg)
9
![Page 10: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/10.jpg)
10
NTLM x Kerberos
Kerberos• Usuário se autentica com o KDC
• O Authentication Service (AS), um componente do KDC, recebe requisição de
autenticação e a valida
• KDC envia um ticket para o cliente
• Cliente recebe o ticket e o coloca em cache
• Ao tentar utilizar um recurso da rede o cliente envia o ticket recebido ao
componente TGS do KDC
• KDC retorna um ticket de sessão para o cliente
• Cliente envia ticket de sessão para recurso de rede que deseja acessar
• Servidor avalia o ticket
• Servidor libera ou bloqueia acesso do cliente
![Page 11: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/11.jpg)
11
![Page 12: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/12.jpg)
12
NTLM x Kerberos
Cérbero/Cerberus Mitologia Grega Cão que guardava a entrada do
Hades, reino subterrâneo dos mortos
As 3 cabeças do Kerberos representam o cliente, servidor e o KDC .
![Page 13: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/13.jpg)
13
Vantagens do Kerberos
Problemas do NTLM Vantagens do Kerberos
Permite “ataques de replay”
Assume que o servidor é confiável
Requer mais tráfego de autenticação
do que o Kerberos
Autenticação Mutua – cliente
autentica o serviço e o serviço
autentica o cliente
Padrão aberto
Permite delegação
![Page 14: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/14.jpg)
14
Vantagens do Kerberos
Pré-autenticação
![Page 15: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/15.jpg)
15
Vantagens do Kerberos
Evitando ataques de replay
Se pré-autenticação estiver habilitada:
Time stamp encriptado utilizando o hash da senha do usuário
KDC desencripta o time stamp e o valida
Cuidado com o horário de verão!
![Page 16: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/16.jpg)
16
Implementação
Security Support Provider Interface (SSPI)
• Permite que uma aplicação use vários modelos de segurança disponíveis sem alterar a interface para o sistema de segurança.
• Provê uma camada de abstração entre protocolos de nível de aplicação e protocolos de segurança.
![Page 17: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/17.jpg)
17
Implementação
![Page 18: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/18.jpg)
18
Implementação
![Page 19: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/19.jpg)
19
Implementação
![Page 20: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/20.jpg)
20
Implementação
Pré-requisitos:
• Cliente e servidor devem fazer parte do mesmo domínio do
windows ou domínios com confiança entre eles
• O SPN deve estar registrado no Active Directory
• Cliente deve conectar ao servidor utilizando TCP/IP (ou seja,
named pipes, shared memory não permitem utilizar o
Kerberos!)
![Page 21: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/21.jpg)
21
Implementação
O que é um SPN?
• Service Principal Name informa o cliente sobre o serviço • Formado de 3 ou 4 das partes abaixo (porta do serviço é
opcional)• Tipo/Classe do serviço
• Database Engine (MSSQLSvc)• Analysis Services (MSOLAPSvc.3)• SQL Browser (MSOLAPDisco.3)
• Nome do servidor• A porta (se necessária)• A conta com a qual o serviço está executando• Precisaremos de TODOS estes itens corretos
![Page 22: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/22.jpg)
22
Implementação
Como configuro o SPN?
• Administrador do domínio, conta de sistema do computador ou uma conta como a Network Service.
• Como normalmente não configuramos (boas práticas!) o SQL Server com nenhum desses tipos de contas o mesmo não será capaz de configurar o SPN por conta própria.
![Page 23: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/23.jpg)
23
Implementação
• SQL Server até tentará registrar o SPN automaticamente se o protocolo TCP/IP estiver ativo
• Irá gerar mensagens no log como a seguinte:
The SQL Network Interface library could not register the Service Principal Name (SPN) for the SQL Server service. Error: 0×2098. Failure to register an SPN may cause integrated authentication to fall back to NTLM instead of Kerberos. This is an informational message. Further action is only required if Kerberos authentication is required by authentication policies.
![Page 24: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/24.jpg)
24
Implementação
![Page 25: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/25.jpg)
25
Implementação
SETSPN -? Classe/<Nome do Servidor>:<porta> <Conta de Serviço>
Onde “?” pode ser:
A – adiciona o SPN
S – adiciona o SPN, após verificar se ele já não existe*
X – Pesquisa por duplicidade
F – Pesquisa por duplicidade, em toda a floresta
Q – Consulta a existência de um SPN
D – remove SPN
R – resetar SPN
L – Listar SPN
![Page 26: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/26.jpg)
26
Implementação
SELECT s.session_id , c.connect_time , s.login_time , s.login_name , c.protocol_type , c.auth_scheme , s.HOST_NAME , s.program_name
FROM sys.dm_exec_sessions s INNER JOIN sys.dm_exec_connections c
ON s.session_id = c.session_id
![Page 27: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/27.jpg)
27
Implementação
![Page 28: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/28.jpg)
28
Implementação
SETSPN –S MSSQLSvc/<servername.domainname> accountname
SETSPN –D MSSQLSvc/<servername.domainname> accountname
SETSPN –L domain\accountname
SETSPN -X
![Page 29: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/29.jpg)
29
Implementação
Domínio: exemplo.localServidor: banco01Conta: exemplo\SQL
SETSPN –S MSSQLSvc/banco01.exemplo.local exemplo\SQLSETSPN –S MSSQLSvc/banco01 exemplo\SQL
SETSPN –S MSSQLSvc/banco01.exemplo.local:1433 exemplo\SQLSETSPN –S MSSQLSvc/banco01:1433 exemplo\SQL
![Page 30: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/30.jpg)
30
Implementação
Domínio: exemplo.localServidor: banco01Conta: exemplo\SSRS
SETSPN -S http/banco01 exemplo\SSRS SETSPN -S http/banco01.exemplo.local exemplo\SSRS
Com host header
SETSPN -S http/www.relatorios.com.br exemplo\SSRS
![Page 31: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/31.jpg)
31
Implementação
Domínio: exemplo.localServidor: banco01Conta: exemplo\SSAS | exemplo\browser
SETSPN -S msolapsvc.3/banco01 Domain\SSAS
-SQL Browser (pode ser necessário com instâncias nomeadas do SSAS!)
SETSPN –S MSOLAPDisco.3/banco01SETSPN –S MSOLAPDisco.3/banco01.exemplo.local
SETSPN –S MSOLAPDisco.3/banco01 exemplo\browserSETSPN –S MSOLAPDisco.3/banco01.exemplo.local exemplo\browser
![Page 32: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/32.jpg)
32
Implementação
Domínio: exemplo.localServidor: banco01Conta: exemplo\SQL
SETSPN –D MSSQLSvc/banco01.exemplo.local exemplo\SQL
SETSPN –L exemplo\SQL
SETSPN -X
![Page 33: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/33.jpg)
33
Implementação
Domínio: exemplo.localServidor: banco01Conta: exemplo\SQL
SETSPN –F –S MSSQLSvc/banco01.exemplo.local exemplo\SQL
![Page 34: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/34.jpg)
34
Troubleshooting e Ferramentas
![Page 35: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/35.jpg)
35
Troubleshooting e Ferramentas
![Page 36: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/36.jpg)
36
Troubleshooting e Ferramentas
![Page 37: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/37.jpg)
37
Troubleshooting e Ferramentas
![Page 38: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/38.jpg)
38
Troubleshooting e Ferramentas
![Page 39: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/39.jpg)
39
Troubleshooting e Ferramentas
![Page 40: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/40.jpg)
40
Troubleshooting e Ferramentas
![Page 41: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/41.jpg)
41
Troubleshooting e Ferramentas
RSReportServer.config
<Authentication> <AuthenticationTypes> <RSWindowsNegotiate/> </AuthenticationTypes> <EnableAuthPersistence>true</EnableAuthPersistence> </Authentication>
![Page 42: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/42.jpg)
42
Troubleshooting e Ferramentas
• Klist – lista os tickets do usuário• cuidado com o UAC• Mostrará apenas tickets daquela sessão
• Disponível no WS 2008 em diante
• Até o WS 2003 estava disponível no resource kit tools
![Page 43: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/43.jpg)
43
Troubleshooting e Ferramentas
![Page 44: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/44.jpg)
44
Troubleshooting e Ferramentas
• Klist purge – remove todos os tickets do usuário atual
![Page 45: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/45.jpg)
45
Troubleshooting e Ferramentas
![Page 46: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/46.jpg)
46
Troubleshooting e Ferramentas
• klist –li 0x3e7• klist –li 0x3e7 purge
• 0x3e7 é a sessão da máquina (“Local System”)
• Com a opção purge você pode “reiniciar” o group membership sem ter de realizar um reboot
![Page 47: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/47.jpg)
47
Troubleshooting e Ferramentas
![Page 48: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/48.jpg)
48
Troubleshooting e Ferramentas
• Kerbtray – Lista tickets do usuário através de uma GUI
• Apenas exibe os tickets
• Disponível no resource kit tools do WS 2003
![Page 49: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/49.jpg)
49
Troubleshooting e Ferramentas
![Page 50: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/50.jpg)
50
Troubleshooting e Ferramentas
• Utilize portas estaticas para a database engine!
• Há programas que não permitem especificar a porta!
• Tente utilizar:• SERVIDOR\INSTANCIA,PORTA• SERVIDOR\INSTANCIA:PORTA
![Page 51: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/51.jpg)
51
Troubleshooting e Ferramentas
![Page 52: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/52.jpg)
52
Troubleshooting e Ferramentas
SQL Native Client
• Permite especificar o SPN que será utilizado pelo cliente para autenticação
![Page 53: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/53.jpg)
53
Troubleshooting e Ferramentas
![Page 54: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/54.jpg)
54
Troubleshooting e Ferramentas
Kerberos event loggingCrie a chave:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters Registry Value: LogLevel
Value Type: REG_DWORD Value Data: 0x1
• Para desabilitar, remova a chave de registro• A partir do WS 2008 não requer reboot
• Utilize em conjunto:• KerbDebugLevel e LogToFile (também em HKLM\...\Parameters)• Cuidado com o impacto na performence
![Page 55: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/55.jpg)
55
Troubleshooting e Ferramentas
Kerberos UDP Fragmentation
• Kerberos executa por padrão na porta UDP 88 até WS 2003
• Pacotes podem ser perdidos por componentes da rede
• Realiza fallback para TCP em caso de Tickets muito grandes
• TCP a partir do WS 2008
• Como forçar o Kerberos a utilizar TCP em vez de UDP no Windows
![Page 56: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/56.jpg)
56
Troubleshooting e Ferramentas
Problemas com navegadores
• IE6, IE7, IE8 ignoram portas digitadas na URL
• Alguns navegadores tentam Kerberos por padrão (IE) outros NTLM
![Page 57: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/57.jpg)
57
Troubleshooting e Ferramentas
CNAME x ANAME
• Resolução do nome ocorre erroneamente com CNAME
• Sempre utilize ANAMEs!
![Page 58: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/58.jpg)
58
Troubleshooting e Ferramentas
![Page 59: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/59.jpg)
59
Troubleshooting e Ferramentas
Monitoramento de pacotes:
• Wireshark
• Netmon
• Message analyser
“Uma ferramenta utilizada para visualizar o conteúdo de pacotes de rede que estão sendo enviados e recebidos em uma
conexão de rede ativa ou de um arquivo de dados capturado previamente. Ela provê opções de filtro para análises
complexas de dados de rede.”
![Page 60: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/60.jpg)
60
Troubleshooting e Ferramentas
![Page 61: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/61.jpg)
61
Troubleshooting e Ferramentas
![Page 62: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/62.jpg)
62
Troubleshooting e Ferramentas
![Page 63: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/63.jpg)
63
Troubleshooting e Ferramentas
![Page 64: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/64.jpg)
64
Troubleshooting e Ferramentas
![Page 65: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/65.jpg)
65
Troubleshooting e Ferramentas
KDC_ERR_PREAUTH_REQUIRED
• Em geral não é um erro, mas sim um “problema” na forma que algumas aplicações implementam o Kerberos
• Aplicações que não realizam a pré-autenticação
• Provavelmente a aplicação fará o processo correto em seguida
![Page 66: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/66.jpg)
66
Troubleshooting e Ferramentas
KDC_ERR_PRINCIPAL_UNKNOWN
• SPN não registrado
• Serviço está sendo consultado com o nome errado• klist purge?
![Page 67: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/67.jpg)
67
Troubleshooting e Ferramentas
KDC_ERR_PREAUTH_FAILED
• Em geral, usuário não existe ou a senha está errada/desatualizada
![Page 68: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/68.jpg)
68
Troubleshooting e Ferramentas
KRB_AP_ER_MODIFIED
• Ticket apresentando pelo serviço foi encriptado com conta diferente da que o serviço utiliza
• Autenticação falha e não há NTLM fallback
![Page 69: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/69.jpg)
69
Troubleshooting e Ferramentas
HOSTS/LMHOSTS
• Cuidado com dados inválidos!
![Page 70: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/70.jpg)
70
Troubleshooting e Ferramentas
![Page 71: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/71.jpg)
71
Troubleshooting e Ferramentas
Constrained Delegation
• Quando trabalhando em cluster, deve ser configurado em cada nó do cluster!
![Page 72: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/72.jpg)
72
Troubleshooting e Ferramentas
Reboot
• Em várias situações um reboot não é necessário
• De qualquer forma, caso a solução não funcione, é sempre bom tentar um reboot!
![Page 73: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/73.jpg)
73
Material complementar
• Troubleshooting Kerberos Errors
• https://magalhaesv.wordpress.com/
• http://blogs.msdn.com/b/psssql/
• https://twitter.com/awsaxton
• Troubleshooting Kerberos Delegation Using DelegConfig
• Kerberos Authentication Tester
![Page 74: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/74.jpg)
Perguntas?
![Page 75: Kerberos: conceitos, melhores práticas e particularidades Vladimir Michel Bacurau Magalhães twittertwitter | Blog | LinkedInBlogLinkedIn Instrutor | Consultor](https://reader038.vdocuments.net/reader038/viewer/2022103016/552fc12a497959413d8ce41a/html5/thumbnails/75.jpg)
Obrigado pela presença!