Kerberos

最新推荐文章于 2024-05-15 04:12:37 发布
最新推荐文章于 2024-05-15 04:12:37 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: 安全 文章标签: Kerberos 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/b2222505/article/details/79521691
版权

简介

Kerberos是不依赖信道安全的,但需要有一个公认可信赖的第三方的网络认证协议。可用于防止窃听、防止重放、保护数据完整性等场合。它在很多登录鉴权场景上被使用。

关键字

  • Authentication Server 认证服务器(AS)
  • Ticket Granting Server 票据授权服务器(TGS)
  • 大大票:客户端加密组装的包含自身身份信息的票据,一般是用户密码的变形。
  • 大票:AS验证大大票合法后,派发的票据。
  • 小票:TGS验证大票合法后,派发的具体业务票据。AppSvr验证小票通过后,AppClient才能访问AppSvr。
    这里写图片描述

举个栗子

  • AS(出入境管理中心)
  • TGS(旅游局代办签证中心)
  • 大大票(身份证户口本)
  • 大票(护照)
  • 小票(签证)
小青青想到A国旅游,拿身份证户口本(大大票)到AS。
AS认证小青青是合法的中国公民,无不良记录,给小青青派发了护照(大票)。
小青青拿着护照到TGS。
TGT认证护照是AS派发的合法护照,给小青青派发了A国的签证(小票)。
小青青拿着签证到A国(AppSvr)。
A国认证签证是TGS派发的合法签证,给小青青的签证盖了个章。
小青青看了下签证盖章,确认是和签证中心相匹配的盖章,确认A国是真的(这一步是客户端验证服务器的合法性,比较少遇到)
小青青过关,进入A国,开始旅行。
过了1年,小青青想到B国旅游,又拿护照到TGS办B国签证。
TGS检查护照是真的,且没有过期,且B国允许中国公民前往,就给小青青派发了B国签证。
其它同上。
又过了N年,小青青想到C国旅游,拿护照到TGT办C国签证。
TGS检查护照是真的,但是过期了,退给小青青。(大票是会过期的,通过time字段)
小青青被告知护照过期了,需要拿身份证户口本到AS重新办本护照。
小青青已经很熟悉流程了,拿着护照办了签证。
小青青突然被通知去出差。
小青青出差回来,拿着B国签证去B国。
B国确认签证是真的,但是过期了,退给小青青;(小票是会过期的)。
小青青被告知签证过期了,只好拿着护照重新去TGS办理签证。
其它同上。

具体流程

Kerberos通过随机生成密钥,加密传递密钥,承上启下使用新老密钥的方式来保证通信安全,有效防止监听和重放。具体如下图:

这里写图片描述

缺点

  • 参与通信的主机的时间需要同步
  • 需要一个值得信赖的第三方介入
  • AS存储了所有用户的密码,AS的安全关呼用户密码的安全;(存储安全)

参考资料

https://www.zhihu.com/question/22177404
http://blog.csdn.net/b2222505/article/details/79519683
http://blog.csdn.net/b2222505/article/details/72872202

啊浪的博客
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kerberos浅谈
PixelWise的博客
08-14 4120
本文归纳总结Kerberos的认证过程以及优缺点,为总结性的文章,需要读者对Kerberos有一定的了解。
kerberos提权
qq_44881113的博客
09-09 113
use incognito list_tokens -u #显示可用的token 可以看见我们已经获取了一个系统管理员的授权令牌 WIN-GMDFGOL4157\Administrator impersonate_token WIN-GMDFGOL4157\\Administrator #在incognito中调用impersonate_token命令假冒administrator用户进行攻击 (注意在输入token时 中间是两个反斜杠 impersonate_token WIN-GMDFGOL41
kerberos-docker:用于kerberos服务器的轻量级docker映像
05-09
kerberos-docker 基于Alpine Linux的轻量级Kerberos Server docker映像。 用法 Docker映像根据以下环境变量配置kadmind和krb5kdc服务器并启动服务器。 环境变量 默认值 描述 REALM_NAME Example.COM 领域名称 DOMAIN_NAME example.com 域名 KADMIN_PASS Secure_Password Kadmin密码 MASTER_PASS 主密码 主数据库密码 默认情况下, kadmin在端口749上运行,而krb5kdc在88运行。 要运行kerberos-docker ,请使用以下命令 docker run -d -p 749:749 -p 88:88 staticmukesh/kerberos-docker 贡献 如果您有任何建议,请随时在上提出问题或提出请求
Kerberos 的安装和使用
u011250186的博客
11-25 3714
Kerberos 的安装和使用
2024年最全kerberos认证原理---讲的非常细致,易懂(1),2024年最新Golang开发还会吃香吗
2401_84910848的博客
05-15 1048
同时需要注意的是SKDC-Client是一个Session Key,他具有自己的生命周期,同时TGT和Session相互关联,当Session Key过期,TGT也就宣告失效,此后Client不得不重新向KDC申请新的TGT,KDC将会生成一个不同Session Key和与之关联的TGT。通过上面的过程,Client实际上获得了两组信息:一个通过自己Master Key加密的Session Key,另一个被Sever的Master Key加密的数据包,包含Session Key和关于自己的一些确认信息。
Kerberos安装教程与命令详解(超详细)
zcs2312852665的博客
12-27 3034
本教程介绍了如何安装和配置Kerberos身份验证系统。首先,我们搭建了一个集群,并介绍了所需的软件包。然后,我们提供了一个一键安装脚本,可以自动下载、安装和配置Kerberos服务器及客户端组件。接下来,我们详细解释了kdb5_util、kadmin、kinit和klist等常用命令的用法。:这个软件包提供了运行 Kerberos 服务器所需的组件。它包含了 KDC(Key Distribution Center)和其他必要的工具,用于管理用户凭证、颁发票据以及处理身份验证请求等。通过安装。
Kerberos 的安装
weixin_66547608的博客
05-09 312
Kerberos Server 的安装
全网最详细 | Kerberos协议详解
Ms08067安全实验室
02-27 6935
目录Kerberos基础PAC特权属性证书1. PAC结构2. PAC凭证信息3. PAC签名4. KDC验证PAC5. PAC在kerberos中的优缺点Kerberos实验AS-REQ & AS-REP1. AS-REQ请求包分析2. AS-REP回复包分析 (1) TGT认购权证 (2) Lo...
kerberos安装包
01-01
安装kerberos5时需要的rpm包,版本1.15.1-37.el7_6.x86_64。里面4个文件:krb5-libs-1.15.1-37.el7_6.x86_64.rpm;krb5-server-1.15.1-37.el7_6.x86_64.rpm;krb5-workstation-1.15.1-37.el7_6.x86_64.rpm;libkadm5...
kerberos
03-05
关于LaravelLaravel是一个具有表达力,优雅语法的Web应用程序框架。 我们认为,发展必须是一种令人愉快的,富有创造力的经历,才能真正实现。 Laravel减轻了许多Web项目中使用的常见任务,从而减轻了开发过程中的...
kerberos+hadoop搭建
04-01
Kerberos+Hadoop 搭建 Kerberos一个身份验证协议,用于提供安全的身份验证和票据授予机制。Hadoop 是一个大数据处理框架,用于处理和存储大量数据。下面将详细介绍 Kerberos+Hadoop 搭建的过程。 环境准备 在...
Kerberos.zip
03-11
《深入理解Kerberos:基于C语言的实现》 Kerberos是一种广泛应用于网络认证的安全协议,由麻省理工学院开发,旨在提供强身份验证和安全的网络通信。它的核心理念是通过分布式密钥分发中心(KDC)来确保用户和服务...
国产服务器安装kerberos,hadoop集成kerberos
qq_45928840的博客
10-12 568
在hdfs-site.xml中配置,默认值为file://${hadoop.tmp.dir}/dfs/data,这里我们需要修改/opt/context/software/bigdata/hadoop-3.2.3/tmp/dfs/data路径的所有者和组为hdfs:hadoop,访问权限为700。这里我们配置的路径为/opt/context/software/bigdata/hadoop-3.2.3/tmp/dfs/ha/jn,所以这里修改该路径的所有者和组为hdfs:hadoop,访问权限为700。
kerberos安装及命令
runqu的博客
03-23 1103
Kerberos一个网络认证协议,用于在计算机网络中验证用户身份。该协议允许用户在网络上进行安全的身份验证,而不必将明文密码传输到网络上。
一文搞懂Kerberos
聚集机器学习、信息安全
03-13 3611
Kerberos一词来源于古希腊神话中的Cerberus——守护地狱之门的三头犬,Kerberos是为TCP/IP 网络设计的可信第三方鉴别协议,最初是在麻省理工学院(MIT)为Athena 项目而开发的。Kerberos服务起着可信仲裁者的作用,可提供安全的网络鉴别,允许个人访问网络中不同的机器。
kerberosKerberos安装使用详解及遇到的问题
Mrerlou的博客
03-18 5359
Kerberos协议: Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安全性。 环境信息: 信息 版本 操作系统 centos6.9 服务器类型 虚拟机 CDH 5.13 节点数量 5 节点信息:
Kerberos安装及使用2(Kerberos服务器KDC安装及配置)
u011250186的博客
11-25 3643
Kerberos安装及使用2(Kerberos服务器KDC安装及配置)
Kerberos密码修改
weixin_43978957的博客
12-14 6675
Kerberos密码修改1.背景2.修改系统用户密码2.1登录kadmin控制台2.2 修改密码3.修改kadmin密码 1.背景 kerberos作为广发运用于大数据产品中的一个认证组件,不可避免会存在修改密码场景。对系统用户和Kadmin用户(管理员用户)的密码修改方式不同。 修改系统用户密码。可以通过cpw来修改,系统用户密码。所以系统用户密码丢失,也可通过kadmin,使用cpw修改找回...
kerberos介绍
最新发布
06-08
Kerberos一个网络身份验证协议,用于在客户端/服务器模式下进行身份验证,以及提供数据加密保护。Kerberos提供了一种安全的身份验证机制,可以防止网络中的恶意攻击。在Kerberos中,用户只需要在登录时输入一次密码,即可获得访问网络中任何服务器的票据,无需再为每个服务器输入密码。Kerberos还提供了数据加密保护,以确保网络中的数据传输是安全的。Kerberos有三个主要组件:客户端,服务器和Kerberos认证服务器(KDC)。客户端向KDC请求票据,并将票据发送给服务器,以获得访问权限。KDC负责管理身份验证和票据分发。Kerberos是目前较为常用的身份验证方式之一,被广泛应用于各种操作系统和应用程序中。 --相关问题--:

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值