SSH与Kerberos原理、关系和区别

最新推荐文章于 2024-07-11 00:27:01 发布
最新推荐文章于 2024-07-11 00:27:01 发布
阅读量4.2k 收藏 4
点赞数 1
文章标签: ssh server authentication service session user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bajiaodidi/article/details/5948245
版权

SSH和Kerberos是用来进行安全认证和安全通讯的,它们之间的关系是什么,区别是什么?

 

SSH是安全认证的安全通讯的方法,Kerberos是安全认证和安全通讯的一套架构体系。SSh采用简单的方法 client <--> Server 之间进行安全认证和安全通讯。 Kerberos的认证架构系统中包括KDC,Service Server和Service Client。简单地说,SSH用在clients和一台Server之间进行安全认证,而Kerberos用在clients和多台Service Servers之间进行安全认证。Kerberos的出现就是为了解决在一个系统中每台Server都独立认证的繁琐问题,而采用集中认证。

 

SSh的安全认证方法有4种:Host-Based authentication、Public-key authentication、Challenge-response authentication和Password authentication。我们通常使用Public-key authentication和Password authentication。

 

Public-key安全认证方法是user调用ssh-keygen命令产生public-keys和private-key pairs,user把private-key和public-key存储在本地 ~/.ssh/identity (protocol 1), ~/.ssh/id_dsa (protocol 2 DSA), 或者 ~/.ssh/id_rsa (protocol 2 RSA) ,把 public-key存储在本地 ~/.ssh/identity.pub (protocol 1), ~/.ssh/id_dsa.pub (protocol 2 DSA), 或者 ~/.ssh/id_rsa.pub (protocol 2 RSA)。接着user把public-key拷贝到远程要访问的Server的user的home目录下的~/.ssh/authorized_keys。

 

public/private-key pairs是如何进行安全认证的呢。public/private-key是非对称的加密/解密方法。即用public-key加密的信息,只能用private-key揭开;用private-key加密的信息,只能用public-key解开。这与传统的对称加密/解密方法是完全不同的。对称的加密/加密方法是用encrypted-key加密,只能用这个 encrypted-key解密,所以加密/解密双方必先约定一个encrypted-key。但是对称的加密/解密方法有更好的效率,所以一般使用非对称加密/解密方法认证和约定传输信息的对称加密/解密的encrypted-key,而使用对称加密/解密的方法开保证传输线程的安全。SSh/TLS正是使用了这样的方式。

 

public-key的安全认证过程:

                                  login(user-name)

           user(client)------------------------------------->  server

                     public-key(host-key,message, transfer encrypted-key)

          server  --------------------------------------------> user

                      encrypted-key(message)

          user  --------------------------------->  server

                       encrypted-key(ok)

          server -------------------------------->  user    // establish the connection

 

 

SSh的Password安全认证过程:

 

                                  login(user-name)

           user(client)------------------------------------->  server

 

                      password(host-key,message, transfer encrypted-key)

           server  --------------------------------------------> user

                        encrypted-key(message)

          user   --------------------------------->  server

                        encrypted-key(ok)

          server -------------------------------->  user    // establish the connection

 

从SSH的两种安全认证的方法看到,Public-Key和Passord的认证交互过程是基本一样的,区别就是Password认证user要把自己的password公开给server,而public-key认证user只需要把public-key公布给server,从而增加了更多的安全性。

 

上面的认证只涉及Server对User的安全认证,那User如何对Server进行安全认证呢。SSH中使用host-key来帮助User对Server进行认证。Server的host-key存储在User本地的~/.ssh/known_hosts中,如果Server的host-key发生变化,SSH则会通知User,这样可以避免假Server的欺骗和man-in-the-middle攻击。

 

Kerberos是如何进行安全认证的呢。

 

Kerberos的设计目标是在一个系统中,用户只需一次集中安全口令认证从而可以访问系统中的Service Servers。因此在认证系统中要有一个独立的Authentication Server(AS)。

 

AS如果让通过安全口令认证的用户访问系统中的Service Servers呢。在日常生活中,简单的做法是AS给通过口令认证的用户一个Service Server的ticket,用户拿着ticket去访问Service Server。为了防止伪ticket的危害,ticket必须要经过加密,所以AS和Service Server之间有约定的加密密钥,即AS知道Server key,记为K_server。

 

Service Servers有责任和义务保护用户的数据安全,即Service Servers必须要保证用户的数据不能被其他人获取和修改。所以Service Servers也要通过安全认证来保证试图访问的用户就是用户本人。现在没有了口令认证,如何保证呢。是否可以通过用户的身份信息来验证呢,即用户的name,location(ip-addr);但是这些身份信息任何人都可以获取的,所以用户很容易被被他人仿冒。明的信息不可靠,那就用暗号吧!就像电影中描述的,秘密组织间使用暗号联络。Kerberos正是使用了“暗号”来确保Service Servers对用户的身份认证,“暗号”称为Session key,记为K_session。

用户通过口令安全认证后,向AS请求要访问Service Server A,AS验证用户是否有权限,若有,就分配“暗号号” K_session给用户和Server A。“暗号”K_session放在Server的ticket中,同时返回给用户。“暗号”K_session返回给用户是否会被窃取呢,不会的!因为AS和用户之间的通讯是经过加密的,安全的。

 

为了系统架构的更加清晰,Kerberos把用户口令认证的模块AS和分配Service Server ticket的模块分开,分配Service Server ticket的模块成为Ticket Granting Server,即TGS。AS验证用户口令安全后,把TGS的ticket发给用户,用户拿着TGS的ticket访问TGS,请求Service Servers的tickets。

 

 

Kerberos的认证流程:

                             user-name, ip-addr

      User  ------------------------------------------------------------------>  AS

 

              user_password(K_session_tgs),

              K_tgs(user-name, ip-addr, tgs-name, ticket_life, K_session_tgs)

      AS   ---------------------------------------------------------------------> User

 

              K_session_tgs(user-name,ip-addr),

              K_tgs(user-name, ip-addr, tgs-name, ticket_life, K_session_tgs)

      User ---------------------------------------------------------------------> TGS

 

              K_session_tgs(K_session_server),

              K_server(user-name, ip-addr, server-name, ticket_life, K_session_server)

      TGS --------------------------------------------------------------------------> User

 

              K_session_server(user-name,ip-addr),

              K_server(user-name, ip-addr, server-name, ticket_life, K_session_server)

      User --------------------------------------------------------------------------> Server

 

                                           ok--connection established

      Server ------------------------------------------------------------------------> User

 

 

 

 

 

 

 

 

 

 

bajiaodidi
关注
Hive/Spark/Yarn: User Not Found 错误和 Kerberos / AD / OpenLDAP 之间的关系与解释
Laurence的技术博客
07-31 1482
有时候,当你向Spark或Hive提交作业时,可能会遇到User not found错误,类似的问题大多发生在启动了Kerberos的Hadoop集群上,或者集群集成了Windows AD或OpenLDAP后。本文,我们把这个问题梳理清楚并给出解决方法。
Linux ssh命令解析安装与常用功能教学
linuxguitu的博客
02-02 2851
SSH(远程连接工具)连接原理ssh服务是一个守护进程(demon),系统后台监听客户端的连接,ssh服务端的进程名为sshd,负责实时监听客户端的请求(IP 22端口),包括公共秘钥等交换等信息。 ssh服务端由2部分组成: openssh(提供ssh服务) openssl(提供加密的程序) ssh的客户端可以用 XSHELL,Securecrt, Mobaxterm等工具进行连接 SSH的工作机制 服务器启动的时候自己产生一个密钥(768bit公钥),本地的ssh客户端发...
Kerberos配置SSH免密登录
aryoyo的博客
06-07 4952
环境:KDC server:hostname: yaya.example.com, ip: 192.168.0.104   ;          客户端:hostname: yaya2.example.com  ip: 192.168.0.106在KDC server上:1.安装:yum install krb5\*[root@yaya log]# rpm -qa|grep -i krb5krb5...
ssl证书鉴权服务器,SSL和Kerberos身份验证之间的区别
weixin_31697021的博客
07-29 794
SSL和Kerberos身份验证之间的区别?我试图了解SSL和Kerberos身份验证之间的实际区别是什么,以及为什么有时我同时拥有SSL流量和Kerberos。还是Kerberos以任何方式使用SSL?有人可以帮忙吗?谢谢!7个解决方案32 votes虽然Kerberos和SSL都是协议,但是Kerberos是身份验证协议,而SSL是加密协议。 Kerberos使用UDP,SSL使用(大部分时间...
kerberos客户端ssh
奔跑的羚羊
01-10 405
#删除票据 kdestroy #查看票据 klist 1.安装Kerberos(同服务端) 2.客户端机器修改host hostname 103.devapp.com 3,修改客户端机器的hosts文件 vim /etc/hosts [code="xml"] #要登陆的客户机 192.168.0.104 104.devapp.com #...
kerberos&ssh 原理、免密登录搭建
波士地盘
12-16 863
原理 详细介绍 参考oracle文档:Kerberos 服务 安装过程 1.安装krb5 yum install -y krb5-server yum install krb5-workstation pam_krb5 -y 用hosts代替dns [root@localhost ~]# cat /etc/hosts 127.0.0.1 localhost localhost.lo...
Oracle/Kerberos验证SSH免密访问
老刘的O记博客
06-01 416
一、基础环境 # 1、DNS Server正反解析(非hosts) kdc.testko.com 192.168.1.253 KDC Server:CentOS7 ko2.testko.com 192.168.1.232 Oracle Server:Oracle 11.2.0.4.210420:sid = orcl kct.testko.com 192.168.1.233 Oracle Client # 2、/etc/hosts 192.1
网络原理深度剖析:Fabric.api背后的SSH与远程命令执行
![网络原理深度剖析:Fabric.api背后的SSH与远程命令执行]... 网络原理SSH协议基础 ## 网络原理的基本概念 网络原理是IT领域的基础性知识,它关注于数据如何在网络中传输、设备如何通信以
SSH中继与跳跃
![SSH中继与跳跃](https://img-blog.csdnimg.cn/ef3bb4e8489f446caaf12532d4f98253.png) # 1. SSH中继与跳跃概述 ## 1.1 SSH中继与跳跃定义 SSH(Secure Shell)中继和SSH跳跃是网络连接...## 1.3 中继与跳跃的关系
ssh命令详解
热门推荐
weixin_33714884的博客
02-05 4万+
基础命令学习目录 SSH(远程连接工具)连接原理ssh服务是一个守护进程(demon),系统后台监听客户端的连接,ssh服务端的进程名为sshd,负责实时监听客户端的请求(IP 22端口),包括公共秘钥等交换等信息。 ssh服务端由2部分组成: openssh(提供ssh服务) openssl(提供加密的程序) ssh的客户端可以用 XSHELL,Secure...
Kerberos
啊浪的博客
03-11 1198
简介 Kerberos是不依赖信道安全的,但需要有一个公认可信赖的第三方的网络认证协议。可用于防止窃听、防止重放、保护数据完整性等场合。它在很多登录鉴权场景上被使用。 关键字 Authentication Server 认证服务器(AS) Ticket Granting Server 票据授权服务器(TGS) 大大票:客户端加密组装的包含自身身份信息的票据,一般是用户密码的...
使用jdbc连接带kerberos认证的hive
TruthK的博客
12-26 7432
在处理这个问题的过程,遇到几个问题: HADOOP_HOME or hadoop.home.dir are not set 出现这个问题是代码运行的环境没有设置环境变量HADOOP_HOME 或者指定 hadoop.home.dir,如果是在windoss上运行,远程连接linux服务器的,应该在windos上设置环境变量$HADOOP_HOME,在path中添加Hadoop的bin目录 。 具体...
SSH的GSSAPIAuthenticationKerberosAuthentication区别
Laurence的技术博客
06-06 3586
SSH的/etc/ssh/sshd_config配置文件中有两个“看上去”很紧密的配置项:GSSAPIAuthenticationKerberosAuthentication,原因是:大家都知道在大多数情况下GSSAPI认证就是Kerberos认证,所以问题来了:那SSH里的这个KerberosAuthentication又是什么呢?和GSSAPIAuthentication有什么关系呢?我们接下来通过5组对比测试把这个问题解释清楚。...............
01、Kerberos安全认证之原理及搭建命令使用学习笔记
最新发布
每个人都是独一无二的,把握好自己的节奏,跟着自己的心走。
07-11 1553
学习kerberos主要原因是目前部门里会有测试kerberos连通性的问题bug,所以以此来系统学习下kerberos安全认证,主要是学习在kerberos安全配置下如何去访问各个大数据组件。
Kerberos 的安装和使用
傅腾的专栏
06-15 5560
讲述 Kerberos 详细的安装和使用
kerberos使用中遇到的问题
玩物
03-17 1万+
公司的kerberos认证使用了很久,但是最近新上的一批服务器无法直接免密登录,需要输入密码。此问题查询了将近一个礼拜后,终于得到解决。kerberos的系统组成有至少三部分。1.ServerA (kdc kerberos-admin(kerberos服务端)) 2.ServerB (client(kerberos user),所有用户可以通过这个服务器从服务端索要凭据)。 3.ServerC(服
Keberos认证过程
banana1006034246的博客
04-04 1420
Kerberos(/ˈkərbərəs/)是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。适用于客户服务模式。解决”某某声称自己是某某“的认证问题。它的模块包括: AS(Authentication Server)= 认证服务器 KDC(Key Distribution Center)= 密钥分发中心(含所有信任客户端的密码) TGT(Ticket Gran...
一文搞懂Kerberos
聚集机器学习、信息安全
03-13 3957
Kerberos一词来源于古希腊神话中的Cerberus——守护地狱之门的三头犬,Kerberos是为TCP/IP 网络设计的可信第三方鉴别协议,最初是在麻省理工学院(MIT)为Athena 项目而开发的。Kerberos服务起着可信仲裁者的作用,可提供安全的网络鉴别,允许个人访问网络中不同的机器。
kerberos原理
07-27
Kerberos原理是通过共享密钥和票据来实现安全的身份验证和访问控制。客户端只需要进行一次身份验证,就可以使用获得的票据访问多个服务,实现单点登录(SSO)。由于消息无法穿透防火墙,Kerberos通常用于组织内部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值