Как работает механизм Kerberos Privilege Attribute Certificate в Windows Active Directory?

Privilege Attribute Certificate (PAC) в Kerberos — это расширение сервисных билетов, которое содержит информацию о пользователе и его привилегиях. www.lepide.com Его добавляет контроллер домена в домене Active Directory (AD) при аутентификации пользователя. www.lepide.com

Некоторые особенности работы механизма PAC:

• Содержание данных. www.lepide.com PAC используется для авторизации пользователя и содержит разрешения для доступа к разным сервисам. www.lepide.com В структуре сертификата есть информация о членстве в группах, дополнительные учётные данные, сведения о профиле и политике, а также поддерживающие метаданные безопасности. www.chudamax.com
• Копирование данных. www.lepide.com Во время процесса аутентификации и авторизации сертификат копируется из одного билета в другой. www.lepide.com
• Проверка подлинности. xakep.ru www.lepide.com Чтобы убедиться в подлинности сертификата, другие системы получают доступ к PAC из билета пользователя и определяют его привилегии. www.lepide.com Для этого используется проверка подписи Kerberos. xakep.ru
• Условия проверки. www.lepide.com Проверка происходит только при определённых условиях, например, когда у пользователя нет определённых привилегий или он не работает в конкретных контекстах. www.lepide.com

Таким образом, PAC обеспечивает легитимность личности и привилегий пользователя, который аутентифицировался через Kerberos. xakep.ru