我经常使用openssl s_client来测试和调试SSL连接(到LDAPS或HTTPS服务).它允许我将问题隔离到SSL,而不会妨碍任何事情.
我想用Kerberos做类似的事情.我想用一个小测试,它会显示:
>初始机器登录(计算机帐户)
>来自请求服务的用户的初始AS请求
>用户获得票证的kerberos交换
>(可选)发送到服务的请求
如果我在KDC上运行Wireshark,我可以执行步骤1,2和3,但它通常不是一个选项.如果我在客户端监控流量,我可以设法捕获步骤2,3和4.
是否有工具可以让我捕获从计算机帐户开始的每个Kerberos登录步骤,而无需在KDC上运行Wireshark?
我会继续提交我以前的
评论作为答案.我希望这是OP想要的.
如您所知,您可以使用klist.exe清除Kerberos票证.
所以启动Wireshark并开始追踪.然后清除Kerberos票证.然后在命令提示符下键入net stop netlogon& net start netlogon. (或者尝试访问网络文件共享.)这将导致计算机从KDC /域控制器请求新的Kerberos票证.现在停止Wireshark跟踪.您已成功捕获包含域成员和域控制器之间交互的网络跟踪.
