信息系统安全实验(七):使用Kerberos实现网络身份认证

最新推荐文章于 2024-05-30 15:33:22 发布
最新推荐文章于 2024-05-30 15:33:22 发布
阅读量6k 收藏 34
点赞数
文章标签: Kerberos 网络身份认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/agjirowjtg/article/details/86741160
版权
本文是信息系统安全实验系列的第七篇,主要介绍如何使用Kerberos进行网络身份认证。实验涵盖Kerberos背景知识、实验目的、环境配置及详细步骤。在实验中,配置Kerberos服务端和客户端,包括NTP安装、Kerberos安装及配置,以实现网络身份认证。同时,探讨了Kerberos的优缺点和身份认证流程。
摘要由CSDN通过智能技术生成

这是信息系统安全实验系列的第七篇~

1. 背景知识

(1)概述

       Kerberos又指麻省理工学院为这个协议开发的一套计算机网络安全系统。系统设计上采用客户端/服务器结构与DES加密技术,并且能够进行相互认证,即客户端和服务端均可对对方进行身份认证。

(2)概念

①    密钥分发中心(KDC)

       Kerberos使用了一个由两个独立的逻辑部分:认证服务器(同身份认证服务器)和票据授权服务器(同服务审批服务器)组成的“可信赖的第三方”,称为密钥分发中心(KDC)。Kerberos工作在用于证明用户身份的“票据”的基础上。

②    Kerberos域

       Kerberos域(realm)是一组受管节点,它们共享同一 Kerberos 数据库。Kerberos数据库驻留在Kerberos主控计算机系统上,对数据库的所有更改都必须在主控计算机系统进行。更改或访问 Kerberos 数据库要求有 Kerberos 主控密码。

③    Kerberos 主体

       Kerberos 主体(principal)是 Kerberos 系统知道的服务或用户。每个 Kerberos 主体通过主体名称进行标识。主体名称由三部分组成:服务或用户名称、实例名称以及域名,其中实例部分是可选的。

       例如,主体名称可以描述用户主体在特殊域中的用户所拥有的授权角色,例如,joe.user@realm1。主体名称还可以描述服务主体的计算机系统上的服务的位置,例如,ftp.host1@realm2。Kerberos将不同计算机系统上的同一服务视为不同的服务主体。

       每个主体有主体密码,Kerberos在其认证过程中使用该密码对服务和用户进行相互鉴别。使用 Kerberos,网络中一台计算机系统上的主体可以很有把握地与网络中另一台计算机系统上的主体进行对话,了解服务或用户是什么或谁在说话。

       当用户作为 Kerberos 主体登录时,Kerberos 给用户分配一张票券。每张票券都有生命期,它决定票券有效的时间长度。当票券过期时,该主体不再是可信的,无法执行额外工作,直到获得一张新的票券。

2. 实验目的

       学习Kerberos的安装和配置方法,掌握和了解Kerberos的工作原理和实现原理,使用Kerberos实现网络身份认证。

3. 实验环境

       两台安装了Ubuntu 12.04的主机,Kerberos等软件。

4. 实验过程记录

                                                                        图1(身份认证流程图)

(1)Kerberos服务端配置

①    NTP安装及配置

       Network Time Protocol(NTP)是用来使计算机时间同步化的一种协议,它可以使计算机对其服务器或时钟源(如石英钟,GPS等等)做同步化,它可以提供高精准度的时间校正(LAN上与标准间差小于1毫秒,WAN上几十毫秒),且可介由加密确认的方式来防止恶毒的协议攻击。

  • 输入命令sudo apt-get install ntp,如图2所示:

                                                                图2(安装ntp)

  • 输入命令sudo gedit /etc/ntp.conf,将内容替换为如下内容:

# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help

driftfile /var/lib/ntp/ntp.drift

statistics loopstats peerstats clockstats

filegen loopstats file loopstats type day enable

filegen peerstats file peerstats type day enable

filegen clockstats file clockstats type day enable

# You do need to talk to an NTP server or two (or three).

server 127.127.1.0

fudge 127.127.1.0 stratum 8

server ntp.time.ac.cn prefer

server cn.pool.ntp.org prefer

server hk.pool.ntp.org prefer

server 0.asia.pool.ntp.org

server 1.asia.pool.ntp.org

restrict -4 default kod notrap nomodify nopeer noquery

restrict 192.168.80.0 mask 255.255.255.0 nomodify notrap

restrict 127.0.0.1

如图3所示:

                                                     图3(修改配置文件)

  • 输入sudo service ntp restart和watch ntpq -p,如图4所示:

                                                      

最低0.47元/天 解锁文章
山幺幺
关注
  • 0
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
2022广工网络安全实验(实训系统考核题+综合题+心得).docx
07-01
- **背景介绍**:Kerberos是一种网络认证协议,主要用于身份验证。 - **实验目的**:熟悉Kerberos在CentOS 7服务器上的安装与配置。 - **实验总结**:学生通过实验了解了Kerberos的工作机制,掌握了其配置流程,增加...
Kerberos认证实验
王宁的博客
06-06 4112
Kerberos认证实验 实验目的 1.了解身份认证的原理及其重要意义 2.学习Kerberos身份认证全过程 3.学会在Linux下配置Kerberos身份认证系统 系统环境 Kerberos实验同样需要3台机器,分别扮演不同的角色:(服务器为linux6.2) 192.168.71.134 kdc.example.com Kerberos服务器和NIS服务器 192.16
基于Kerberos的跨域身份认证实验
Shirongliang的博客
12-03 2029
跨域身份认证技术是身份认证技术的一种典型应用,随着云计算的快速发展和大规模部署,传统的网络架构发生了深刻的变革,带来了新的安全挑战。在云环境下,身份提供者、认证凭证和签发机构的多元化造成用户访问时需穿越多个安全域,跨域身份认证已成为云安全的难点问题。Kerberos是一种网络认证协议,它使用对称加密的技术实现网络中的身份认证。目前大数据组件(如HDFS/ YARN/ HBase/Hive/Kafka/Spark 等等)基本上都默认支持Kerberos身份认证
CDH基于Kerberos开启身份验证实践总结
CharlesYan的博客
08-02 651
Kerberos,一只守护在地狱之门外的三头犬
SSL 身份验证实验
runtime888的博客
11-20 1073
实验拓扑 图 1-1 实验需求 深圳总部在内网中旁挂 SSL VPN 作为 VPN 设备,在总部部署 SSL VPN 服务器 创建用户组 出差员工,并建立用户,该组用户使用用户名和密码进行身份认证 创建用户组 市场部,并建立用户,该组用户使用用户名和密码进行身份认证,同时开启证书认证 与公司的域环境联动,要求域账户可以直接登录 SSL VPN 创建用户组 IT 部,并建立用户,该组用户登录需要绑定硬件特征码 实验解法 部署 SSL VPN 步骤略,参照 SSL VPN 部署实验 ..
基本win server 2003——身份认证实验
MAY的博客
04-14 1059
PPPoE协议的工作流程包含发现和会话两个阶段
Kerberos安全认证-连载2-Kerberos安装及使用
qq_32020645的博客
06-05 2095
Kerberos名词术语、Kerberos安装、Kerberos命令使用
慕课在网络安全课程教学中的应用——Kerberos认证协议教学案例.pdf
09-20
Kerberos是一种在开放的分布式系统中确保用户身份认证的服务。这个协议主要解决的问题是,在一个开放的网络环境中,如何确保用户身份的真实性和服务请求的合法性。Kerberos通过一个可信任的第三方——密钥分发中心...
实验13Linux网络认证实验201911181
08-03
实验13 Linux网络认证实验主要关注的是在Linux环境中配置和使用Kerberos、LDAP以及...通过这个实验,学生将深入理解Kerberos的票据验证流程、LDAP的目录服务概念以及SAMBA如何在不同操作系统实现资源共享和身份验证。
kerberos 软件包 linux
03-13
Kerberos软件包,如krb5-1.6.3,是实现这一协议的开源实现,通常用于信息安全专业实验,帮助学生和专业人士理解并实践网络认证机制。 1. Kerberos的基本原理: Kerberos基于密钥分发中心(KDC)的概念,它由两个...
【白帽子学习笔记23】网络嗅探与身份验证
python_LC_nohtyp的博客
11-05 1240
文章目录0x01 网络嗅探1x01 网络嗅探概述1x02 ARP欺骗1x03 密码安全 0x01 网络嗅探 1x01 网络嗅探概述 Sniffer(嗅探器)工作在OSI模型的第二层,利用计算机的网卡截获网络数据报文的一种工具,可用来监听网络中的数据,分析网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器确定不同网络协议、不同用户的通信流量,相互主机的报文传送间隔时间等,这些信息为管理员判断网络问题、管理网络
网络信息安全身份认证
m0_75232472的博客
04-18 700
总体来说,如果你想转行从事程序员的工作,Java开发一定可以作为你的第一选择。但是不管你选择什么编程语言,提升自己的硬件实力才是拿高薪的唯一手段。如果你以这份学习路线来学习,你会有一个比较系统化的知识网络,也不至于把知识学习得很零散。我个人是完全不建议刚开始就看《Java编程思想》、《Java核心技术》这些书籍,看完你肯定会放弃学习。建议可以看一些视频来学习,当自己能上手再买这些书看又是非常有收获的事了。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
网络渗透测试实验二:网络嗅探和身份认证
cherry70的博客
12-22 1225
1、通过使用Wireshark软件掌握Sniffer(嗅探器)工具的使用方法,实现捕捉HTTP等协议的数据包,以理解TCP/IP协议中多种协议的数据结构、通过实验了解HTTP等协议明文传输的特性。2、研究交换环境下的网络嗅探实现及防范方法,研究并利用ARP协议的安全漏洞,通过Arpspoof实现ARP欺骗以捕获内网其他用户数据。3、能利用BrupSuite实现网站登录暴力破解获得登录密码。4、能实现ZIP密码破解,理解安全密码的概念和设置。系统环境:Kali Linux 2、Windows。
[信息系统安全实验] 实验1.Web安全
LostUnravel的博客
09-20 2696
[信息系统安全实验] 实验1.Web安全 CSRF 1 基于GET请求的CSRF攻击 首先登录 Samy 账号并手动添加 Alice 为好友,然后用 HTTP Header Live工具观察 HTTP 数据包. 可以看到是一个 GET 请求, 附带信息有 friend 的 id 号, 后面跟着 elgg_ts 类似时间戳以及一个 elgg_token 令牌. 重点在于 friend 的id 号. 通过浏览器的 inspector 来查看 Elgg 的 Newest members 页面. 如图可以看
Linux网络安全技术:身份认证攻击
最新发布
qq_66493659的博客
05-30 196
Linux 身份认证
Web集成Windows身份验证(NTLM、Kerberos、Basic)验证过程详解
carcarrot的博客
04-12 720
原文标题:《IE接受Negotiate头,分别使用NTLM 或 Kerberos两种验证的情况说明》 https://www.iteye.com/blog/cainiao-wuzhiqi-1565824
信息系统安全复习
weixin_45144679的博客
06-22 1464
1. 什么是安全策略,即安全策略的设计原则有哪些? What is security policy and what are the design principles of security policy? 安全策略是指为达到安全目标而设计的规则的集合。 经济性原则、默认拒绝原则、完全仲裁原则、开放设计原则、特权分离原则、最小特权原则、最少公共机制原则、心理可接受原则 2. DAC&MAC 自主访问控制是用来决定一个用户是否有权访问一些特定客体的一种访问约束机制,主要体现在客体的所有者有权
Kerberos认证原理与环境部署
匠人精神,持之以恒!
06-04 3906
官网:https://www.kerberos.org/ 官方文档:http://web.mit.edu/kerberos/krb5-current/doc/Kerberos中有以下一些概念需要了解:用户principal的形式:其中Instance是可选 的,通常用于更好地限定用户的类型。比如,一个管理员用户通常会有admin instance,即。下面是指代用户的 一些principal的例子: 2)服务principal 用户principal的形式:下面是指代服务principal的例子: 三、Ke
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值