Smart Card und NTLM Authentifizierung

Wir diskutierten heute über Smart Card Authentifizierung. Es stellte sich uns eine interessante Frage:

“Wie spielen Smart Card Login und NTLM (LAN Manager) Authentifizierung zusammen?”

Smart Card und NTLM- Grundlagen

Bei der NTLM Authentifizierung wird bei der Anmeldung an der Domain ein Hash-Wert des Passworts gebildet. Dieser Hash wird dem Access Token des Benutzers hinzugefügt. Beim Zugriff auf Netzwerk Ressourcen mit NTLM Authentifizierung wird dieser Hash aus dem Token des Benutzers zur Anmeldung verwendet.

Bei einer Smart Card Authentifizierung wird das Zertifikat auf der Smart Card in Verbindung mit einer PIN verwendet um eine Kerberos Anmeldung durchzuführen. Benutzername und Passwort werden nicht eingegeben. Wie kann ein Zugriff auf legacy NTLM Ressourcen bei einer Anmeldung mit Smart Card funktionieren?

Erklärung

Der Passwort Hash des Benutzers wird in der Active Directory Domäne mit einer sog. OWF (one way function) gespeichert. Dieser Passwort Hash wird vom KDC (Key Distribution Center) bei der Smart Card Anmeldung in das „privilege attribute certificate (PAC)“ des TGT (Ticket Granting Ticket) hinzugefügt. Somit steht der Passwort Hash des Benutzers für NTLM Authentifizierung im Access Token zur Verfügung.