Keberos安全认证学习

最新推荐文章于 2024-06-26 16:15:22 发布
最新推荐文章于 2024-06-26 16:15:22 发布
阅读量1.4k 收藏 2
点赞数 1
分类专栏: kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JY_He/article/details/89925152
版权
本文深入探讨Kerberos网络认证协议,包括其角色概念、认证过程和在Hadoop安全机制中的应用。Kerberos通过TGT(Ticket Granting Ticket)和会话密钥确保用户和服务间安全通信。在Hadoop中,Delegation Tokens作为轻量级认证机制,用于减轻KDC的压力。理解Kerberos ticket和Hadoop token的生命周期对于管理认证至关重要。
摘要由CSDN通过智能技术生成

因为,最近要做大数据组件的安全认证,需要涉及到kerberos这个组件,记录相关资料,后续查看。

Kerberos 是一种网络认证协议,它采用了传统的共享密钥的方式,实现了在网络环境不一定保证安全的环境下,client和server之间的通信,适用于client/server模型。用户只需输入一次身份验证信息,就可凭借此验证获得的票据授予票据(ticket-granting ticket)访问多个接入Kerberos的服务。

                                              

                                                                          图 1.1 Kerberos认证

Kerberos角色概念:

  1. AS(Authentication Server):认证服务器。KDC的一部分。通常会维护一个包含安全个体及其秘钥的数据库,用于身份认证
  2. KDC(Key Distribution Center):密钥分发中心。,是一个提供票据(tickets)和临时会话密钥(session keys)的网络服务。KDC服务作为客户端和服务器端信赖的第三方,为其提供初始票据(initial ticket)服务和票据授予票据(ticket-granting ticket)服务,前半部分有时被称为AS,后半部分有时则被称为TGS。
  3. TGT(Ticket Granting Ticket):票据授权票据,票据的票据。包含客户端ID、客户端网络地址、票据有效期以及client/TGS会话密钥(TGT是和Server无关的)
  4. TGS(Ticket Granting Server):票据授权服务器。KDC的一部分,根据客户端传来的TGT发放访问对应服务的票据
  5. SS(Service Server):特定服务提供端
  6. Principal:被认证的个体。(client principal/server principal: 分别表示客户端和服务器的名字,命名规则:主名称+实例+领域。例如:admin/admin@ZELDA.COM
  7. Ticket:票据,客户端用它访问对应服务。包含:用户名,IP,时间戳,有效期,会话秘钥
  8. Session key:会话密钥,指两个安全个体之间使用的临时加密秘钥,其时效性取决于单点登录的会话时间长短
  9. Keytab:以文件的形式呈现,存储了一个或多个Principal的长期的key。用途和密码类似,用于kerberos认证登录(让用户不需要明文的存储密码,和程序交互时不需要人为交互来输入密码)

认证过程

 开启安全认证后的认证方式有两种:

  • 使用密码认证:

使用用户密码通过kinit认证, 获取到的TGT存在本地凭证缓存当中, 供后续访问服务认证使用。一般在交互式访问中使用。

  • 使用 keytab 认证:

用户通过导出的keytab 可以免密码进行用户认证, 后续步骤一致。一般在应用程序中配置使用。

Kerberos的认证过程可细分为三个阶段:初始验证、获取服务票据和服务验证:

第一阶段主要是客户端KDC中的AS发送用户信息,以及请求TGT

  • 客户端向KDC发送自己身份,即提供用户名密码(避免频繁使用用户名密码,可以使用keytab这个密码本);
  • AS收到请求后,随机生成一个密码Session Key,简称为SK1(使用客户端的Master Key自己的Master Key进行加密),并返回给客户端两条消息:a)一个给客户端,b)另一个给TGS
  • 客户端通过自己的Master Key对第一部分进行解密获得SK1之后,以及TGS的密钥加密的TGT 。

TGT大体又包含以下的内容:

  • SK1:只在一段时间内有效的Short-term Key
  • End time: TGT到期的时间。
  • Client name & realm: 简单地说就是Domain name\Client;

                                

                                                                          1.2初始验证流程图

第二阶段客户端拿到之前获得的TGT(一个TGT可以从KDC获得基于不同Server的Ticket)向KDC中的TGS请求访问某个服务的票据

  1. 客户端在获得自己和KDC的SK1之后,生成自己的A       uthentication以及要访问的Server名称,并使用Session Key进行加密,连同TGT一同发送给KDC;
  2. KDC中的TGS首先检查KDC数据库中是否存在所需服务,若存在则使用自己的Master Key对TGT进行解密,提取客户端信息(Client Info)和SK1,
最低0.47元/天 解锁文章
JY_He
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kerberos安全认证模型
hjwsm1989的专栏
09-26 1799
Kerberos安全认证模型广泛用于互联网客户端和服务器之间的双向认证。 可以用于防止网络replay攻击、恶意破坏、窃听,保证了数据的完整性,是一种对称密钥体制进行密钥管理的系统。 ceph分布式文件系统中的安全认证模块的原型也来源于kerbos 具体的认证流程: 用户登录: 1)    用户输入用户名和密码到客户端 2)        客户机程序在输入的密码上运行一个单向函
Kerberos协议详解
热门推荐
做自己喜欢的事,并将其发挥到极致!
09-13 1万+
Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全,Kerberos侧重于通信前双方身份的认定工作,帮助客户端以及服务端验证是真正的自己并非他人,从而使得通信两端能够完全信任对方的身份,在一个不安全的网络中完成一次安全的身份认证继而进行安全的通信。Kerberos是一种计算机网络认证协议,其设计目标是通过密钥系统为网络中通信的客户机(Client)/服务器(Server)应用程序提供严格的身份验证服务,确保通信双方身份的真实性和安全性。
Kerberos认证原理与使用教程
m0_46168848的博客
02-21 7752
Kerberos认证原理与使用教程
kerberos认证:生成keytab文件并实现java代码用keytab登录hadoop集群
最新发布
qq_41358574的博客
06-26 526
用户首先向认证服务器(AS)请求一个票据授权票(Ticket-Granting Ticket, TGT),然后使用 TGT 向票据授权服务器(Ticket-Granting Server, TGS)请求服务票据。Kerberos 是一种网络认证协议,用于在不安全的网络中以安全的方式对用户和服务进行身份验证。AS 是 Kerberos 认证过程中的第一个服务,负责验证用户的身份,并发放初始的 TGT。TGS 负责发放访问特定服务的票据。用户使用服务票据向目标服务进行认证,服务票据授权用户访问特定的服务。
大数据权限认证 Kerberos 部署
u011047968的专栏
03-01 1607
Kerberos是一种网络身份验证协议,旨在支持使用密钥加密的客户端/服务器应用程序的强大身份验证。Kerberos 为网络资源提供最高级别的安全性。Kerberos 应用客户端/服务器体系结构并支持用户到服务器的身份验证,而不是主机到主机的身份验证。在此模型中,安全性和身份验证将取决于密钥技术,其中网络上的每个主机都有自己的密钥。
CDH 之 Kerberos 安全认证和 Sentry 权限控制管理(一)
dzqxwzoe的博客
01-31 1099
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。ApacheSentry是Cloudera公司发布的一个Hadoop开源组件,2016年3月成为Apache顶级项目。
kinit: KDC can‘t fulfill requested option while renewing credentials
jzy3711的博客
10-02 3052
1,检查配置文件/var/kerberos/krb5kdc/kdc.conf,在[realms]下需要有max_renewable_life = 7d。为啥推荐使用klist,执行命令需要和和klist中的Default principal: root@AM.COM对应。3.klist 查看cache文件 或者在/etc/krb5.conf中查看相应的配置文件,推荐使用klist。在测试集群上装上了kerberos,今天同事需要使用kinit -R 命令,在执行时报错。8.重新执行kinit -R成功。
hive配置Kerbros安全认证_hive kereveros
2401_84264610的博客
04-26 671
合并成一个keytab文件,rkt表示展示,wkt表示写入。注意:ktutil:以后面的是输入的。#生成密钥文件(生成到当前路径下)
Python通过kerberos安全认证操作kafka
竹筒小神
11-14 1万+
【坑】Python通过kerberos安全认证操作kafka 如何通过Kerberos认证. 1.安装Kerberos客户端 CentOS: yum install krb5-workstation 使用which kinit查看是否安装成功; 2.拷贝Kerberos配置文件 conf目录下krb5.conf和kafka.keytab和jaas.conf拷贝到客户端机器的etc目录, ...
Hadoop 配置 Kerberos 认证_hadoop kerberos认证
2401_84185182的博客
04-27 498
rw-r–r–. 1 root root 1298 10月 5 17:14 bd_ca_cert。-rw-r–r–. 1 root root 1834 10月 5 17:14 bd_ca_key。
安全研究】从mimikatz学习万能密码——上
HBohan的博客
10-23 516
1.背景介绍 2015年1月2日,Dell Secureworks共享了一份关于利用专用域控制器(DC)恶意软件(名为“SkeletonKey”恶意软件)进行高级攻击活动的报告,SkeletonKey恶意软件修改了DC的身份验证流程,域用户仍然可以使用其用户名和密码登录,攻击者可以使用Skeleton Key密码作为任何域用户登录 【资料查看】 (http://www.secureworks.com/cyber-threat-intelligence/threats/skeleton-key-malware
[内网渗透]Kerberos 认证
weixin_47224111的博客
12-30 2888
Kerberos 认证 简介 Kerberos诞生与上个世纪九十年代,被广泛用于各大操作系统和Hadoop生态系统中。 kerberos的作用 kertberos提供了一种单点登录(SSO)的方法,在内网里有很多服务器,提供一个第三方可信的认证服务器,供其他服务器使用,这样任何客户端就只需要一个密码就能登录每个服务器。 Kerberos的角色(简化) 认证服务器(AS),客户端(Client),普通服务器(Server),客户端和服务器在AS的帮助下完成相互认证,在Kerberos系统里,客户端和服务器都有
kerberos使用
DCHAO的博客
08-22 2784
https://www.jianshu.com/p/69e6a2e7c648
Hadoop安全实践
一个有情怀的程序猿博客
07-14 1080
前言 在2014年初,我们将线上使用的 Hadoop 1.0 集群切换到 Hadoop 2.2.0 稳定版, 与此同时部署了 Hadoop 的安全认证。本文主要介绍在 Hadoop 2.2.0 上部署安全认证的方案调研实施以及相应的解决方法。 背景 集群安全措施相对薄弱 最早部署Hadoop集群时并没有考虑安全问题,随着集群的不断扩大, 各部门对集群的使用需求增加,集群安全问题就显得颇为重要。说到安全问题,一般包括如下方面: 用户认证(Authentication) 即是对用户身份进行核对, ..
Kerberos 安装与配置 (七)
Stay Focused And Work Hard !!!
08-09 1万+
7.1 KDC server的 安装1、安装最新版的KDC server ​ yum install krb5-server krb5-libs krb5-workstation 注:KDC (Key Distribution Center)密匙分配中心, 其在kerberos中通常提供两种服务: 1.Authentication Service (AS):认证服务
hadoop之kerberos权限配置(ranger基础上)(三)
weixin_40496191的博客
01-02 4277
kerberos+ranger+kerberos权限控制
常见的 Kerberos 错误消息 (A-M)
Sabrina & Joshua Java Ivory Tower
06-27 805
本节按字母顺序 (A-M) 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息。   All authentication systems disabled; connection refused 原因: 此版本的 rlogind 不支持任何验证机制。 解决方法: 请确保调用的 rlogind ...
java keberos
10-28
Java Kerberos 是一个在 Java 平台上实现的网络认证协议,它使用密钥分发中心(KDC)来实现双方认证与密钥分发。Kerberos 协议旨在提供强大的身份验证和加密通信,可以保护网络中的数据传输安全。 Java Kerberos 提供了 Kerberos 客户端和 Kerberos 服务端的 API,使得开发人员可以使用 Java 语言轻松地实现 Kerberos 协议的集成。通过 Java Kerberos,我们可以在 Java 应用程序之间进行安全的身份验证和通信。 使用 Java Kerberos,首先需要进行以下步骤: 1. 安装与配置 Kerberos 服务端:要使用 Java Kerberos,需要安装和配置一个 Kerberos 服务端,这个服务端将负责生成并验证 Kerberos TGT(票据授权票)和服务票据。 2. 配置 Java 客户端:在 Java 应用程序中,需要配置 Kerberos 客户端以连接到 Kerberos 服务端。配置包括指定 KDC 的主机名和端口号,以及指定 Realm(领域)。 3. 实现 Kerberos 认证逻辑:在 Java 应用程序代码中,需要集成 Kerberos API,并实现认证逻辑。这些逻辑包括: - 客户端请求 TGT:客户端向 Kerberos 服务端发送身份验证请求,获取 TGT。 - 客户端使用 TGT 请求服务票据:客户端使用 TGT 向 Kerberos 服务端请求服务票据,这会导致服务票据被返回给客户端。 - 服务端验证票据:服务端接收到客户端发送的服务票据请求,对票据进行验证,并向客户端发送成功或失败的响应。 4. 安全通信:一旦身份验证和票据交换完成,Java 应用程序间就可以使用安全的通信协议(如 SSL/TLS)进行加密通信。 总之,Java Kerberos 提供了一种保护网络通信的强大工具,开发人员可以利用 Java Kerberos API 在 Java 应用程序中轻松地实现 Kerberos 认证安全通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值