快速入门Kerberos认证_单域kerberos协议的对话流程中每一个阶段的对话流程图(1)

于 2024-05-14 11:04:29 发布
阅读量396 收藏 5
点赞数 4
分类专栏: 程序员 文章标签: 网络安全 学习 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84253132/article/details/138846146
版权

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

01 引言

Kerberos是一个计算机网络认证协议,用于实现网络中的身份验证和安全通信。它提供了一种安全的方式,允许用户在一个不可信任的网络环境中进行身份验证(关键点:Security-安全Authentication-认证)。

02 核心概念

在学习kerberos之前,先熟悉一下其核心概念,首先看看涉及到哪些对象概念:

概念说明
KDC密钥分发中心(Key Distribution Center,KDC)是ASTGS的组合,是Kerberos系统的核心组件,KDC负责颁发和管理凭据和票据,以及处理用户的身份验证请求
AS认证服务器(Authentication Server,AS)Kerberos系统中的第一个组件,负责用户的身份验证,用户向AS发送凭据以请求服务票据(Ticket Granting Ticket,TGT)
TGS服务票据授予服务器(Ticket Granting Server,TGS)Kerberos系统中的第二个组件,负责颁发服务票据,用户使用TGTTGS请求服务票据,该票据用于访问特定服务。
Client客户端(Client) 是发起Kerberos身份验证过程的用户或应用程序,它请求TGT和服务票据,并使用它们访问受保护的资源。
Service服务(Service) 是提供特定功能或资源的网络应用程序或服务器,服务通过验证和解析服务票据来验证客户端的身份,并授权客户端访问资源。

与票据相关的概念:

概念说明
Ticket凭据(ticket) 是客户端用于证明其身份的信息,在Kerberos中,通常使用用户名(Principal)和密码(Keytab)作为凭据进行身份验证(PrincipalKerberos中用于表示身份标识的字符串,通常采用"主体名称@REALM"的格式,Keytab文件是一个用于存储Principal和对应密钥的安全文件) 。
TGTTGT(Ticket Granting Ticket) 是由AS颁发给客户端的加密票据,用于请求服务票据,客户端在TGS请求过程中使用TGT进行身份验证。
Service Ticket服务票据(Service Ticket) 是由TGS颁发给客户端的加密票据,用于访问特定服务,客户端将服务票据发送给服务以证明其身份
Session Key会话密钥(Session Key) 是客户端和服务之间用于加密和解密通信的对称密钥,在Kerberos中,会话密钥在TGS颁发的服务票据中传递给客户端

其它概念:

概念说明
Realm安全领域(Realm)是Kerberos系统的逻辑边界,包含一组受信任的用户、服务和KDC ,安全领域通常对应于网络中的域或领域树
安全策略安全策略是定义Kerberos系统中访问和授权规则的规则集合,它确定谁可以访问哪些服务和资源,并规定了密码策略和会话策略等安全设置。

03 流程图

流程图如下(图片来源:https://seevae.github.io)
在这里插入图片描述
下面是各个步骤的说明:

  • step1:客户端向认证服务器(AS)发送凭据(通常是用户名Principal和密码keytab)以请求TGT;
  • step2:AS验证客户端的凭据,如果验证通过,生成一个TGT,并使用客户端的密码加密该TGT,发送回客户端,客户端收到TGT后,存储在本地;
  • step3:客户端向服务票据授予服务器(TGS)发送TGT以请求访问特定服务的服务票据,TGS验证客户端的TGT,并生成一个服务票据(Service Ticket);
  • step4:TGS使用服务的密钥(通常从服务的keytab文件中获取)加密服务票据,并发送回客户端。
  • step5:客户端收到服务票据后,可以使用它访问特定的服务,客户端向服务发送服务票据以证明其身份。
  • step6:服务使用服务票据中的会话密钥(Session Key)进行验证,如果验证通过,客户端被授权访问服务。

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

在这里插入图片描述

因篇幅有限,仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84253132
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kerberos认证原理与使用教程
m0_46168848的博客
02-21 7288
Kerberos认证原理与使用教程
kerberos入坑指南
mark's technic world
03-14 1586
原理介绍 kerberos主要是用来做网络通信时候的身份认证,最主要的特点就是“复杂”。所以在入坑kerberos之前,最好先熟悉一下其原理。这里推荐一些别人写的文章内容来进行简单汇总: 链接kerberos认证原理用对话场景来解释kerbeors的设计过程 简图 kerberos认证流程简图 几个概念的补充 principal 认证的主体,简单来说就...
3.3 域认证——Kerberos协议认证
最新发布
GloryGod的博客
08-24 486
Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务。
kerberos认证相关概念和流程
dkjhl的博客
09-15 1709
你的hadoop有十台主机,/etc/hosts配置的host为hadoop[1-10].hadoop.com,name在定义你的Kerberos的Realm时就是HADOOP.COM,你创建的客户端的服务端的principal都是以@HADOOP.COM结尾。为什么说”默认基于jaas配置”呢。SASL作为高层次框架,定义的是一套接口,看一下接口定义,就能领会到其实GSSAPI是其一种实现,换句话说,在进行基于kerberos认证的时候,既能够间接应用GSSAPI层接口,也能够应用sasl层的接口。
Kerberos安全认证-连载9-访问Kerberos安全认证Hadoop
qq_32020645的博客
06-10 1513
当keberos客户端安装完成后自动会在C:\ProgramData\MIT\Kerberos5路径创建krb5.ini配置文件,我们需要配置该文件指定Kerberos服务节点及域信息,配置如下,该文件配置可以参考Kerberos服务端/etc/krb5.conf文件。以上命令执行之后,在/root目录下会生成zhangsan.keytab文件,将该文件复制到IDEA项目的resources资源目录或者本地window固定的某个目录,该文件用于编写代码时认证kerberos
Python confluent kafka客户端配置kerberos认证流程详解
01-19
第一种SASL/GSSAPI的认证就是kerberos认证,对于java来说有原生的支持,但是对于python来说配置稍微麻烦一些,下面说一下具体的配置过程,confluent kafka模块底层依赖于librdkafka,这是使用c编写的高性能的...
域渗透的DPAPI和Kerberos协议.pdf
08-08
议题分享主要介绍了域渗透数据保护API架构逻辑和Kerberos认证协议的通信流程,同时从攻击者的角度谈了DPAPI和Kerberos协议的利用,最后给出常见攻击思路的防御和缓解措施。 1.1 DPAPI架构 1.2 DPAPI加密机制 1.3 ...
kerberos.rar_Kerberos_kerberos Java_single_sso java
07-15
Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和...
JAAS.rar_Action!_Jaas Kerber_jaas KERBEROS_kerberos Java_login.a
09-24
_Jaas_Kerber_jaas_KERBEROS_kerberos_Java_login.a"压缩包文件包含了关于如何在Java环境使用JAAS实现Kerberos登录和委托的示例代码。Kerberos是一种广泛使用的网络身份验证协议,它提供了强大的安全性,通过一次...
hadoop快速集成kerberos认证
01-13
Hadoop作为一个分布式计算框架,为了保障数据的安全性,常常需要集成Kerberos认证系统。Kerberos是一种网络认证协议,它提供了强大的身份验证服务,确保只有授权的用户和服务可以访问资源。本压缩包文件包含了实现...
Windows域认证Kerberos认证)图解
Howell_0626的博客
06-30 2469
Windows域认证Kerberos认证)图解
Kerberos协议详解
热门推荐
做自己喜欢的事,并将其发挥到极致!
09-13 1万+
Kerberos协议一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全,Kerberos侧重于通信前双方身份的认定工作,帮助客户端以及服务端验证是真正的自己并非他人,从而使得通信两端能够完全信任对方的身份,在一个不安全的网络完成一次安全的身份认证继而进行安全的通信。Kerberos是一种计算机网络认证协议,其设计目标是通过密钥系统为网络通信的客户机(Client)/服务器(Server)应用程序提供严格的身份验证服务,确保通信双方身份的真实性和安全性。
Kerberoskerberos 工作流程图
人生所向,皆是美好
02-29 1169
刚开始熟悉Kerberos,看了一些文章太枯燥,看完了只记得大概步骤,每一步都干了啥还是不清楚,索性打开kerberos官方文档,看着介绍画了这个图,图如有不对的地方,欢迎指出,不胜感谢。 本文偏向于工作流程,关于原理的东西网上挺多的,就不多说了 其它原理介绍相关参考链接: https://cloud.tencent.com/developer/article/1200367 https://b...
kerberos认证协议浅析
萧萧的专栏
03-04 7724
1 引言 在希腊神话Kerberos是守护地狱之门的一条凶猛的三头神犬,而我们在本文所要介绍的Kerberos认证协议是由美国麻省理工学院(MIT)首先提出并实现的,是该校雅典娜计划的一部分。这个定名是贴切的,因为Kerberos认证一个三路处理过程,依赖称为密钥分发心(KDC)的第三方服务来验证计算机相互的身份,并建立密钥以保证计算机间安全连接。本质上每台计算机分享KDC一个秘钥,而K
Kerberos浅谈
PixelWise的博客
08-14 4121
本文归纳总结Kerberos认证过程以及优缺点,为总结性的文章,需要读者对Kerberos有一定的了解。
Kerberos原理
huyuleizj的博客
03-08 1534
转载自: Yx.Ac 文章来源: 勇幸|Thinking ( http://www.ahathinking.com )  。 --- 前些日子为了搞清楚Kerberos原理,把 MIT的Kerberos经典对话 看了几遍,终于有了一个稍微清晰的认识,这里稍微记录下,因为Kerberos是使用传统加密技术实现的一个认证机制,所以顺便备忘下关于加密的一些知识概念。本文组织如下:
kerberos安全认证
weixin_44352020的博客
05-05 573
1.kerberos安全认证原理: 客户端跟服务端可以对对方进行身份认证,防止窃听,防止replay攻击。保护数据完成性,是一种应用对称密钥体制进行密钥管理的系统。 2.基本概念 Principal(安全个体): KDC(key distribution center): Ticket: TGT: 3.kerberos协议 kerberos协议分为两个部分 4.客户端二次开发流程 若待连接的hdf...
Kerberos认证流程
weixin_35016347的博客
08-01 641
原理:A、B共享一个秘密secret,A通过提供这个秘密secret,向B证明自己是A 协议包含三个部分,如下: Sequence画图网址:https://www.websequencediagrams.com 新增了一个协议——User2User Sub-Protocol:有效保障Server的安全,避免传输Server Master Key 更新后的流程大概如下: 1. C...
kerberos使用遇到的问题
玩物
03-17 1万+
公司的kerberos认证使用了很久,但是最近新上的一批服务器无法直接免密登录,需要输入密码。此问题查询了将近一个礼拜后,终于得到解决。kerberos的系统组成有至少三部分。1.ServerA (kdc kerberos-admin(kerberos服务端)) 2.ServerB (client(kerberos user),所有用户可以通过这个服务器从服务端索要凭据)。 3.ServerC(服
kerberos认证_Mac里捣腾Kerberos(一)
05-16
Kerberos是一种网络认证协议,用于验证用户和服务器之间的身份。在Mac上,可以使用Kerberos来进行身份验证,以便在使用网络服务时不需要再次输入用户名和密码。以下是在Mac上配置Kerberos的步骤: 1. 安装Kerberos ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值