Kerberos是一个基于共享密钥对称加密的安全网络认证系统,避免密码在网络中传输。它提供了一次登录多处服务的便利,并通过KDC管理Ticket实现用户和服务的身份验证。Kerberos与Samba的Windows域控制器主要区别在于,Kerberos构建的是AD域,而Samba是Domain域控制器,且Kerberos支持的功能更为丰富。
Kerberos
1、Kerberos是一个基于共享密钥对称加密的安全网络认证系统,它避免了将密码(包括密码hash)在网上传输,而是将密码作为对称加密的密钥,通过能不能解密来验证用户的身份;
2、Kerberos在验证完用户身份后会发给用户Ticket,这个Ticket包含了用户的授权,用户拿着这个Ticket去享受各种服务,所以在Kerberos管理的范围内用户只需要登录一次就可以享用所有的服务;
3、如果拿Kerberos作为集群服务器的登录管理,那么每台工作机(或者是跳板机,但是sshd不提供Kerberos的ticket初始化,需要自己改造一下)都必须是Kerberos于的成员;
4、负责管理发放Ticket和记录授权的中心服务器被称为KDC(Key Distribution Center),它知道所有用户和服务的密码。这就是Kerberos服务器;
5、类似NIS 的name domian(域)在Kerboeros被称为realm,Kerberos可以管理多个realm;
6、在Kerberos域(realm)中每添加一个服务或者用户就要添加一条principal,每个principal都有一个密码。用户principal的密码用户自己记住,服务的principal密码服务自己记录在硬盘上(keytab文件中);
7、用户principal的命名类似elis/admin@EXAMPLE.COM,形式是用户名/角色/realm域。服务principal的命名类似ftp/station1.example.com@EXAMPLE.COM,形式是服务名/地址(提供者)/realm域;
8、Kerberos的进程有krb5kdc(主进程,也就是KDC)、kadmind(用于远程管理pricipal数据库)、kpropd(slave同步数据用)。配置文件在/etc/krb5.conf和/var/ker
最低0.47元/天 解锁文章
1353
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
