Jiří Schuster, Osobní Knowledge Base

Doména domain01.tld poskytuje uživatelské účty a doména domain02.tld poskytuje zdroje, v příkladu webový server.

Mezi doménami je vytvořen forest trust, který plně podporuje Kerberos. Externí trust podporuje Kerberos s omezením a vyžaduje další konfiguraci. Směr trustu je domain02.tld » domain01.tld to znamená uživatel z domény domain01.tld se může prihlásit ke zdroji v doméne domain02.tld. Name suffix routing má defaultní konfiguraci, jméno *.domain02.tld je propagováno do domény domain01.tld.

Web server v doméně domain02.tld má zaregistrováno SPN např. HTTP/server.domain02.tld..

Uživatel který se pokouší pripojit k webovému serveru je na svém pocítaci v doméne domain01.tld prihlášen svým doménovým uctem. Pro pripojení k webovému serveru používá MS Internet Explorer kde je v Local Intranet zóně jméno webového serveru např. server.domain02.tld nebo wildcard *.domain02.tld. DNS server (forwarder) který používá PC uživatele je schopen najít Kerberos server (KDC) v doméně domain02.tld..

1. PC uživatele posílá HTTP query. Server odpovídá 401-Unauthorized a posílá seznam podporovaných způsobů prihlášení, pro Kerberos to muže být WWW-Authenticate: Negotiate.
2. PC uživatele posílá požadavek na Kerberos TGS tiket. který je doručen na řadič domény v doméne domain01.tld..
3. Tento řadič domény hledá SPN webového serveru, ten nemůže být nalezen.
4. Následně řadič domény v doméne domain01.tld kontaktuje globální katalog a prohledává name suffix routing všech forest trustů. Name suffix routing je uložen v atributu msDS-TrustForestTrustInfo TDO objektu. V případě parent/child domén je TDO objekt forest trustu primárně uložen jen v parent (forest-root) doméně, ale replika forest-root domény je uložena v globálním katalogu child domény.
5. V našem příkladu řadič domény v doméne domain01.tld nalézá name suffix routing *.domain02.tld což znamená, že se webový server server.domain02.tld nalézá mimo vlastní forest a je dostupný přes forest trust. Proto tento řadič domény vystavuje Kerberos referral tiket a posílá ho PC uživatele. Tento tiket je zašifrován pomocí forest trust hesla.
6. PC uživatele použije DNS query pro vyhledání Kerberos serveru (KDC) v doméně domain02.tld (SRV záznam). První DNS query je AD-site specific to znamená, že DNS query obsahuje jméno AD site ve které je PC uživatele. Pokud Kerberos server není nalezen, tak PC uživatele pošle druhé DNS query, kterým v doméně domain02.tld vyhledává globálně zaregistrovaný Kerberos server. Po nalezení posílá PC uživatele LDAP query (UDP/389 (CLDAP, Common LDAP)), cílem je nalezený Kerberos server (řadič domény domain02.tld). Jedná se o testování dostupnosti cílového serveru. Pokud je LDAP odpověď doručena, tak PC uživatele posílá požadavek na Kerberos TGS tiket. Řadič domény domain02.tld hledá SPN webového serveru. Ten je nalezen, takže je vystaven Kerberos TGS tiket a poslán PC uživatele.
7. Uživatel posílá nové HTTP query, Kerberos tiket je obsažen v HTTP hlavičce.

nslookup -type:SRV _kerberos._udp.domain02.tld DNS_server