基于Kerberos的跨域身份认证实验_kerberos跨域访问的7步骤-CSDN博客

本文链接：https://blog.csdn.net/Shirongliang/article/details/128158069

基于Kerberos的跨域身份认证实验

实验场景

跨域身份认证技术是身份认证技术的一种典型应用，随着云计算的快速发展和大规模部署,传统的网络架构发生了深刻的变革,带来了新的安全挑战。在云环境下，身份提供者、认证凭证和签发机构的多元化造成用户访问时需穿越多个安全域，跨域身份认证已成为云安全的难点问题。Kerberos是一种网络认证协议，它使用对称加密的技术实现网络中的身份认证。目前大数据组件(如HDFS/ YARN/ HBase/Hive/Kafka/Spark 等等)基本上都默认支持Kerberos身份认证。本实验案例将引导学生实现大数据组件+Kerberos部署。

实验相关技术 — Kerberos协议

Kerberos 是一种基于加密票据（ Ticket）的身份认证协议，用来在非安全网络中，对个人通信以安全的手段进行身份认证。Kerberos 认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下， Kerberos 作为一种可信任的第三方认证服务，是通过传统的密码技术（如：共享密钥）执行认证服务的，可以用于防止窃听、防止replay攻击、保护数据完整性等场合。

认证过程具体如下：客户机向认证服务器（AS）发送请求，要求得到某服务器的证书，然后 AS 的响应包含这些用客户端密钥加密的证书。证书的构成为： 1) 服务器 “ticket” ； 2) 一个临时加密密钥（又称为会话密钥 “session key”） 。客户机将 ticket （包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝）传送到服务器上。会话密钥可以（现已经由客户机和服务器共享）用来认证客户机或认证服务器，也可用来为通信双方以后的通讯提供加密服务，或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。简而言之，就是Client从KDC获取TGT，Client利用获取的TGT向KDC请求其他Service的Ticket（通过获取的session进行访问）。

Kerberos 认证流程

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nRQjg1ZP-1670033050530)(C:\Users\Administrator\Desktop\基于Kerberos的跨域身份认证实验\图片\4.png)]$

其中，KDC（key distribution center）：密钥分发中心，包含AS 和 TGS。

AS（Authentication Server）：认证服务器

TGS（Ticket Grantion Server）：票据授权服务器

TGT（Ticket-grantion Ticket）：票据授权票据

realm name：域名，包含KDC和许多客户端的Kerberos网络，约定一般用大写来命名realm，比如“EXAMPLE.COM”

password：某个用户的密码，对应于kerberos中的master_key。password可以存在一个keytab文件中。因此，kerberos中需要使用密码的场景都可以用一个keytab作为输入。

credential：credential是“证明某个人确定是他自己/某一种行为的确可以发生”的凭据。在不同的使用场景下，credential的具体含义也略有不同：对于某个principal个体而言，他的credential就是他的password；在kerberos认证的环节中，credential就意味着各种各样的ticket。

authenticator：验证者，是服务器用于验证客户机用户主体的信息。验证者包含用户的主体名称、时间标记和其他数据。与票证不同，验证者只能使用一次，通常在请求访问服务时使用。

principal：认证的主体，简单来说就是“用户名”。

Ticket：一个票据，客户用它来向服务器证明自己的身份，包括服务的主体名称、用户的主体名称、用户主机的ip地址、时间标记、会话密钥、定义票证生命周期的时间戳。

keytab：keytab是包含principals和加密principal key的文件。keytab文件对于每个host是唯一的，key中包含hostname。keytab文件用于不需要人工交互和保存纯文本密码，实现到kerberos上验证一个主机上的principal。

实验环境

操作系统：Centos 7.4

操作用户：root

软件角色分布如下：

设置 /etc/hosts文件

首先进入root模式
输入"su root" 复制资源机密码进入root模式

在这里插入图片描述

输入"vim /etc/hosts"，配置节点IP和机器名
 复制ECS-2的IP和机器名到ECS-1的hosts配置文件中（ECS-2的hosts文件同样如此设置）

在这里插入图片描述

实验步骤

1.kerberos安装

1.1安装kerberos

服务器端：

# yum -y install krb5-libs krb5-workstation krb5-server

客户端：

 # yum -y install krb5-libs krb5-workstation

1.2配置服务器端和客户端的 krb5.conf 文件

# vim /etc/krb5.conf

配置文件信息：

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = EXAMPLE.COM
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 # default_ccache_name = KEYRING:persistent:%{uid}

[realms]
   EXAMPLE.COM = {
       kdc = hostname #hostname即ECS-1 /etc/hosts文件中机器名
       admin_server = hostname 
      }

[domain_realm]
  .example.com = EXAMPLE.COM
  example.com = EXAMPLE.COM

配置说明：

[logging]　　配置的是一些与日志存放路径相关的信息。

- default: 用于配置krb5libs日志存放路径

- kdc: 用于配置krb5kdc日志存放路径

- admin_server: 用于配置kadmin服务日志存放路径

[libdefaults]		使用Kerberos时使用的默认值。

- dns_lookup_realm ： 与dns参数有关，默认是false，当设置为true时，dns参数才起作用，有关dns参数获取其他参数可以查看官方文档。
- ticket_lifetime： 所获取票据的有效时间，默认是24小时。
  - renew_lifetime：票据最长可以被延期的时间，默认是7天。当票据过期后，对安全认证的服务的后续访问则会失败。

- forwardable：票据是否可以被kdc转发， 默认是true。

- rdns ：在进行dns解析的时候，正反向都可以，默认是true，如果dns_canonicalize_hostname参数被设置为false，那么rdns这个参数将无效。

- default_realm：默认的域，默认值为 EXAMPLE.COM 。如果有多个域，都需要在realms中定义。默认以大写书写。

- default_ccache_name：默认缓存的凭据名称，不推荐使用，当在客户端配置该参数的时候，会提示缓存错误信息。

[realms]		列举使用的域。默认只有一个，可以配置多个。

- kdc ： kdc服务器地址。格式是 机器：端口， 默认端口是88

- admin_server： admin服务地址 格式 机器：端口， 默认端口749

- default_domain： 指定默认的域名

1.3 配置服务器端的 kdc.conf 文件

#vim /var/kerberos/krb5kdc/kdc.conf

配置文件信息：

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 EXAMPLE.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
  max_life = 25h
  max_renewable_life = 8d
 }

配置说明：

[kdcdefaults]	 kdc的默认值，用于配置全局信息。

- kdc_ports: kdc默认端口
- kdc_tcp_ports: kdc默认的tcp端口

[realms]       配置每个域的具体信息。

- EXAMPLE.COM： 是设定的 realms。名字可以修改。Kerberos 可以支持多个 realms。大小写敏感，一般为了识别使用全部大写。

- master_key_type：和 supported_enctypes 默认使用 aes256-cts。由于，JAVA 使用 aes256-cts 验证方式需要安装额外的 jar 包。推荐不使用，并且删除 aes256-cts。
- acl_file：标注了 admin 的用户权限，需要用户自己创建。文件格式是：Kerberos_principal permissions [target_principal] [restrictions]
- supported_enctypes：支持的校验方式。
- admin_keytab：KDC 进行校验的 keytab。

1.4 服务器端安装时间同步服务器NTP

网络时间协议，英文名称：Network Time Protocol（NTP）是用来使计算机时间同步化的一种协议，它可以使计算机对其服务器或时钟源（如石英钟，GPS等等)做同步化，它可以提供高精准度的时间校正（LAN上与标准间差小于1毫秒，WAN上几十毫秒），且可介由加密确认的方式来防止恶毒的协议攻击。NTP的目的是在无序的Internet环境中提供精确和健壮的时间服务。
  
kerberos对时间同步要求严格，所以需要配置ntp服务。

# yum install -y ntp

使用"ntpstat"命令查看是否同步成功

1.5 配置服务器端的 kadm5.acl文件,以允许具备匹配条件的admin用户进行远程登录权限

#vim /var/kerberos/krb5kdc/kadm5.acl

配置文件信息：

 */admin@EXAMPLE.COM	*

配置说明：

 上述的配置表示以 /admin@EXAMPLE.COM 结尾的用户拥有*(all 也就是所有)权限，具体配置可根据项目来是否缩小权限。

1.6 创建Kerberos数据库

在服务器端上对数据库进行初始化，默认的数据库路径为 /var/kerberos/ krb5kdc，如果需要重建数据库，将该目录下的principal相关的文件删除即可，需牢记数据库密码。

#kdb5_util create -r EXAMPLE.COM -s

说明：

- [-s] 表示生成stash file，并在其中存储master server key（krb5kdc）。
- [-r] 来指定一个realm name，当krb5.conf中定义了多个realm时使用。

 当Kerberos database创建好了之后，在 /var/kerberos/krb5kdc 中可以看到生成的principal相关文件。

#ll /var/kerberos/krb5kdc/

1.7 在服务器端启动 Kerberos 服务

# 启动服务命令
#systemctl start krb5kdc
#systemctl start kadmin

# 加入开机启动项
#systemctl enable krb5kdc
#systemctl enable kadmin

1.8 创建Kerberos管理员

# kadmin.local -q "addprinc root/admin"

命令运行后，系统提示两次设置密码，密码不能为空，需要妥善保存。

说明：如果在服务器端使用 kadmin.local，在客户端使用 kadmin。

创建管理员后，可进行主体（管理员）认证，获取票据，测试其可用性：

# kinit root/admin

查看当前票据使用命令：

# klist

2.Kerberos 的常用命令

2.1 登陆 Kerberos

服务端登录：

# kadmin.local

进入后可设置相关属性，例如票据的持续时间等。退出命令：exit 。 

在客户端登录：

# kadmin admin/admin（能够提示输入密码即可）

2.2 创建 Kerberos 主体

# kadmin.local -q "addprinc ncepu"

创建后需要设置密码。注意：同一时间只能有一个认证主体用户。

2.3 修改主体密码

# kadmin.local -q "cpw ncepu"

命令运行后，可设置新密码

2.4 查看所有主体

# kadmin.local -q "list_principals"

在这里插入图片描述

2.5 生成 keytab 密钥文件

生成主体 ncepu 的 keytab 文件到指定目录

#kadmin.local -q "xst -norandkey -k /var/kerberos/krb5kdc/ncepu.keytab ncepu"

注意：
1.当生成主体的 keytab 文件后，就不能再用密码方式登录 ，必须用 keytab 文件方式登录。即先前设置的密码不再有用，即使输入正确仍报错。若想恢复密码登录，删除 keytab 文件即可。
2.在生成keytab文件时需要加参数"-norandkey"，否则导致直接使用kinit xiaobai@EXAMPLE.COM初始化时提示密码错误。

2.6 主体认证

使用 kinit 进行主体认证，获得Ticket

# kinit root/admin

查看认证 Ticket

# klist

测试keytab可用性

# kinit -k -t /var/kerberos/krb5kdc/ncepu.keytab ncepu

销毁 Ticket

# kdestroy

在这里插入图片描述

2.7 密码策略

Kerberos策略用于域用户账户，用于确定与Kerberos相关的设置，例如票证的有效期限和强制执行。但Kerberos策略只能应用于域中的计算机中。

设置密码策略:

# addpol -maxlife "90 days" -minlife "75 days" -minlength 8 -minclasses 3 -maxfailure 10 -history 10 ncepu

修改密码策略:

# modpol -maxlife "90 days" -minlife "75 days" -minlength 8 -minclasses 3 -maxfailure 10 ncepu

删除密码策略:

#delpol [-force] user