关于 Kerberos

最新推荐文章于 2025-12-05 17:02:52 发布
原创 最新推荐文章于 2025-12-05 17:02:52 发布 · 1.2k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #网络 #开发语言

简述

Kerberos 是基于对称密钥的网络身份认证协议,核心作用是在不安全网络中验证用户 / 服务身份,防止身份伪造和密码窃听。

详细认证流程(四步完整交互)

  1. 身份请求:客户端向 KDC 的 AS 发送认证请求,包含用户名和目标服务名(无需密码)。
  2. TGT 发放:AS 验证用户身份后,用用户预存的密钥(由密码衍生)加密 TGT 和会话密钥,发送给客户端。客户端用自身密码解密,获取 TGT 和会话密钥。
  3. 服务票据申请:客户端用 TGT 和会话密钥向 TGS 请求目标服务的访问票据,TGS 验证 TGT 有效性后,生成服务票据(含客户端身份、会话密钥副本),用服务端密钥加密后发送。
  4. 服务访问:客户端将服务票据和自身身份凭证(用会话密钥加密)发送给服务端,服务端解密票据获取会话密钥,再验证客户端凭证,通过后建立安全连接。

Kerberos 的安全短板与应对方案

  • 单点故障风险:KDC 是核心,一旦宕机将导致全网认证失效。应对:部署 KDC 集群(主从架构),实现高可用备份。
  • 时间同步依赖:票据含有效期(默认 5-10 小时),客户端与 KDC、服务端时间差需控制在 5 分钟内(可配置),否则票据失效。应对:全网部署 NTP 时间同步服务,锁定时间同步源。
  • 密钥泄露风险:若用户密码或 KDC 密钥泄露,攻击者可伪造身份。应对:定期轮换 KDC 主密钥、用户密码,采用强密码策略(长度≥12 位,含大小写 + 符号)。
  • 票据重放攻击:攻击者截取未过期票据后重复使用。应对:票据中嵌入客户端 IP、时间戳,服务端验证票据唯一性和时效性。

部署与优化核心要点

最低0.47元/天 解锁文章
关于Kerberos AP_ERR_MODIFIED问题的研究
weixin_67900048的博客
04-26 610
Kerberos 验证的过程中,客户端会首先联系DC 验证自己的身份,验证通过后,DC会给客户端发送TGT ,用于service ticket 的申请过程。Spn 如注册在其他账号上,service ticket会使用注册的账号的密码进行加密,我们发给应用服务器时,也会因为密码不一致解密失败。服务账号的密码dc 间不同步,如我们申请service ticket 的时候联系了错误的DC,解密service ticket就会失败。2、两端使用的解密算法不同,导致票据无法解密。3、spn 注册错误。
Cloudera集群运维-关于kerberos加密算法的配置梳理
罗仲虎的博客
12-28 1334
TKT,即票据授予票据,可以形象地比喻为一把“万能钥匙”。在Kerberos认证系统中,当你(作为客户端)想要访问某个服务(如服务器上的某个文件或数据库)时,你首先需要向Kerberos认证中心(Key Distribution Center, KDC)证明你的身份。这个属性对于Kerberos认证过程尤为重要,因为它决定了在AD环境中,哪些加密类型可以被用于票据(ticket)的加密和会话密钥的生成。当你(持有TKT的客户端)来到这个中心,并请求访问某个特定服务的权限时,TGS会检查你的TKT是否有效。
Kerberos
难得糊涂
05-18 811
kerberos 除了说帮我们验证Java程序是否具有权限来请求Hadoop的服务,也可以来帮助我们检查新增的节点是是否是真实的节点,还是黑客为了套取数据的节点.比如为HDFS新增一个DataNode节点,如果没有Kerberos验证, 随便一个节点只要连接上NameNode就会存储数据,黑客就可以获取到我们的数据cuiyaonan2000@163.com。
Kerberos协议详解
热门推荐
李同學的安全圈
09-13 1万+
Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全,Kerberos侧重于通信前双方身份的认定工作,帮助客户端以及服务端验证是真正的自己并非他人,从而使得通信两端能够完全信任对方的身份,在一个不安全的网络中完成一次安全的身份认证继而进行安全的通信。Kerberos是一种计算机网络认证协议,其设计目标是通过密钥系统为网络中通信的客户机(Client)/服务器(Server)应用程序提供严格的身份验证服务,确保通信双方身份的真实性和安全性。
关于Kerberos认证的一些攻击手法学习总结
渗透测试研究中心
05-09 1410
Kerberos认证流程前言本文主要分享最近学习的关于域内Kerberos认证的一些攻击手法,以自我的理解为主,从原理理解切入到基本工具利用来阐述,个人的理解分析较为啰嗦,嫌太兀长的可以跳着看就好,还请各位谅解。如有错误,请师傅们提出更正对于Kerberos认证流程只是简单的描述带过,下面有很多细节没有说明,比如PAC,S4U2SELF(委派),S4U2PROXY(委派)等。详细的解读推荐翻阅d...
关于kerberos认证24小时过期的web项目
张不帅
05-31 1965
文章目录 对于kerberos认证的大数据集群,由于kerberos认证设置了缓存票据时间为24小时, 设置了定时任务,每次在24小时的时候重新认证并获取hbase连接 在重新获取连接的时候断开连接,此时线上的其他查询服务会在这一瞬间统一宕机 具体解决方案, try { UserGroupInformation.loginUserFromKeytab(userName,keyTabFile); long time = 24 * 60 * 60 * 1000;//24
解决关于Kerberos的Failed to find any Kerberos tgt问题
u010608720的专栏
07-23 1万+
错误描述 Secure Client Cannot Connect ([Caused by GSSException: No valid credentials provided(Mechanism level: Failed to find any Kerberos tgt)]) 解决方法: 1、一种是由于kerberos的keytab权限问题导致,一般用kinit -kt /var/lib/hadoop-hdfs/hdfs.keytab hdfs/admin 类似的命令可以解决。 2..
Kerberos认证原理
sangfor_edu的博客
07-11 1089
收到KRB_TGS_REP,先解密出了Session tgs。当Client发送身份信息给AS后,AS会先会想AD请求,询问是否有此用户,如果有的话,就会取出它的NTLM hash,然后生成一个随机秘钥称为Session-Key as(临时秘钥Session-Key)。收到回复KRB_AS_REP,先用自己的Client NTLM-hash 解密得到Session-Key as,并使用Session-Key as 加密数据(timestamp、Client-info、Server-info)作为一部分。
kerberos简介
HHFQ的博客
10-05 1989
维护网络内的系统安全性和完整性至关重要,它涵盖了网络基础架构中的每个用户,应用程序,服务和服务器。 它需要了解网络上正在运行的所有内容以及这些服务的使用方式。 维护此安全性的核心是维护对这些应用程序和服务的访问并强制执行该访问。 Kerberos是一种比普通的基于密码的认证更加安全的认证协议。使用Kerberos,即使在其他计算机上访问服务时也永远不会通过网络发送密码。 Kerberos提供了一种机制,允许用户和机器向网络标识自己,并接收对管理员配置的区域和服务的定义的、受限的访问权限。Kerberos通过
给大家讲个关于kerberos协议的故事...
Ms08067安全实验室
03-24 748
文章来源|MS08067 内网安全知识星球本文作者:Spark(Ms08067内网安全小组成员)内网纵横四海 认准Ms08067关于kerberos协议的原理网上的文章应该已经有很多了,...
TensorRT笔记(5):研究timingCache
ouliten的博客
12-02 987
在里出现了大量的timingCache,但是当时没有取研究这是干啥的,本文就来解析一下。样例都基于上面的文章。
(5)MyBatis中的两种参数传递类型
a52djibg1的博客
12-01 247
动态/临时用Map,固定/正式用@Param或 POJO。能用对象就别用 Map —— 代码是给人看的。单个基本类型(如intString@Param注解标注多个参数而使用Map作为参数Map 是“灵活性”的工具,但牺牲了“可读性”和“安全性”。只在真正需要动态、多变参数时才用它。
MVP改成MVVM模式
u014035162的专栏
12-05 539
面将登录示例改造成(基于 Android Jetpack 的 ViewModel + LiveData + DataBinding),核心是抛弃 Presenter 中间层,通过 ViewModel 管理数据和业务逻辑,LiveData 实现数据驱动 UI,DataBinding 简化视图与数据的绑定。
零基础学JAVA--Day41(IO文件流+IO流原理+InputStream+OutputStream)
最新发布
Dxxyyyy的博客
12-05 540
文件在程序中是以流的形式来操作的流:数据在数据源(文件)和程序(内存)之间经历的路径输入流:数据从数据源(文件)到程序(内存)的路径输出流:数据从程序(内存)到数据源(文件)的路径。
基于Springboot2+Vue2的旅游景点购票系统
自学网站s.jf3q.com,菜鸟的成长之路
12-02 645
本系统是一个集旅游景点信息展示、在线购票、用户游记分享与互动交流于一体的综合性平台。核心价值在于提供便捷的景点门票预订服务,同时构建活跃的旅游社区,促进用户间的经验分享。
【Android逆向工程】第8章:Frida 高级应用:函数追踪与 RPC 调用
w987333120的博客
12-01 374
本文介绍了Frida框架的核心功能与应用技巧,包括函数调用栈追踪、RPC机制、批量Hook、内存操作和脚本模块化等关键技术。重点讲解了Thread.backtrace()和DebugSymbol.fromAddress()的用法,提供Java和Native函数的调用栈追踪示例,并展示了调用栈过滤与分析方法。最后通过实战案例演示登录流程追踪和RPC调用,同时给出常见问题解决方案。这些技术可有效提升逆向分析效率,适用于移动应用安全测试场景。
Java 缓冲区优化
qq_43427354的博客
12-02 679
Java 中,缓冲区(Buffer) 是一块用于临时存储数据的内存区域,核心作用是协调数据生产者和消费者的速度差异,减少频繁 I/O 操作或数据拷贝的开销,提升程序性能。它本质是 “数据中转站”,避免了直接对原始数据源(如文件、网络流、数组)的频繁读写,通过 “批量处理” 优化效率。
Drools规则引擎实战指南
qq_41262225的博客
12-05 277
Drools规则引擎实战指南摘要 Drools是一款开源的Java业务规则管理系统(BRMS),通过将业务逻辑与代码分离,提高系统灵活性。本文介绍了Drools的核心架构,包括KieBase知识库、KieSession工作内存和规则执行队列Agenda。实战部分展示了Maven依赖配置、项目结构设计,以及实体模型定义方法。通过规则引擎,业务人员可直接维护业务规则,无需修改代码即可实现业务逻辑变更,显著提升系统可维护性。文章还提供了Spring Boot集成方案和规则文件组织结构,帮助开发者快速上手Drool
Java---集合
2301_80275859的博客
12-04 460
本文介绍了Java集合框架的核心概念和使用方法。主要内容包括:1)集合的基本概念和分类(单列集合Collection和双列集合Map);2)Collection接口的常用方法(add、remove、contains等)和两种遍历方式(迭代器和增强for循环);3)List接口特点(有序、可重复)及其实现类ArrayList、LinkedList和Vector的对比;4)Set接口特点(无序、不可重复)及其实现类HashSet和LinkedHashSet;5)底层数据结构分析,包括数组、链表和红黑树的应用场景
关于Kerberos,下列说法正确的是: 即使用户彼此不认识,也可以满足身份验证、加密和完整性目标 Kerberos客户端只需要在本地输入口令。通过公共密钥加密技术的使用,完整的口令不再从网络传递,也不再使用加密形式 Kerberos加密通过网络传输的信息包,使信息更安全 Kerberos可以限制某一时间段的身份验证
06-12
关于Kerberos,正确的说法是: 1. 即使用户彼此不认识,也可以满足身份验证、加密和完整性目标:Kerberos采用了对称密钥加密技术,通过使用Kerberos服务器来颁发安全的令牌,实现了用户身份的验证、信息的加密和...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值