kerberos的 kdc_设置Kerberos版本5 KDC以使用AES加密

最新推荐文章于 2024-07-11 00:27:01 发布
最新推荐文章于 2024-07-11 00:27:01 发布
阅读量2.1k 收藏 2
点赞数 1
文章标签: 数据库 java linux mysql nginx
原文链接:https://www.ibm.com/developerworks/aix/library/au-kerberosaes/index.html
版权
本文详细介绍了如何设置Kerberos版本5的Key Distribution Center (KDC)以使用AES加密,包括验证IBM NAS文件集、配置KDC服务器、创建并验证AES加密类型的主题,以及设置KDC客户端的步骤。
摘要由CSDN通过智能技术生成

您可以使用Kerberos来验证网络上用户和主体的身份。 此过程中使用两种类型的票证:票证授予票证和服务票证。 票证授予票证会验证您请求服务票证。 服务器提供服务票证请求以访问实际服务。 密钥分发中心(KDC)用作发行这些票证的受信任的第三方。

票证已加密,因此只有具有有效私钥的主体或具有整个Kerberos数据库的主体名称,其私钥及其到期的KDC才能对其进行解密。

Kerberos版本5 KDC可以使用三种加密类型:

  • 数据加密标准(DES)
  • 三重DES
  • 高级加密标准(AES)

AES是目前用于安全通信的最先进和推荐的加密类型,因此本文重点介绍如何设置KDC以使用AES。

先决条件

要遵循本文中的示例,您需要配置了IBM Network Authentication Services(NAS)1.4版(或更高版本)文件集的AIX®5.3H®(或更高版本)机器。

设置KDC服务器

首先,验证IBM NAS文件集的安装(请参见清单1 )。

清单1.验证IBM NAS文件集 
# lslpp -l |grep krb5                                                    
     krb5.client.rte            1.4.0.4  COMMITTED  Network Authentication  
   Service                                                                  
     krb5.client.samples        1.4.0.4  COMMITTED  Network Authentication  
   Service                                                                  
     krb5.lic                   1.4.0.4  COMMITTED  Network Authentication  
   Service                                                                  
     krb5.msg.en_US.client.rte  1.4.0.4  COMMITTED  Network Auth Service    
   Client                                                                   
     krb5.server.rte            1.4.0.4  COMMITTED  Network Authentication  
   Service                                                                  
     krb5.toolkit.adt           1.4.0.4  COMMITTED  Network Authentication  
   Service                                                                  
     krb5.client.rte            1.4.0.4  COMMITTED  Network Authentication  
   Service                                                                  
     krb5.server.rte            1.4.0.4  COMMITTED  Network Authentication  
   Service

下一步是进行Kerberos服务器设置。 这里要考虑的重要参数是:领域名称( -r ),域名( -d )和标准的Kerberos管理服务器(请参见清单2 )。

清单2. Kerberos服务器设置 
# mkkrb5srv -r REALM1.IBM.COM -d in.ibm.com -s adfsaix5.in.ibm.com
  Fileset                      Level  State      Description
  ----------------------------------------------------------------------------
Path: /usr/lib/objrepos
  krb5.server.rte            1.4.0.4  COMMITTED  Network Authentication Service
                                                 Server

Path: /etc/objrepos
  krb5.server.rte            1.4.0.4  COMMITTED  Network Authentication Service
                                                 Server
The -s option is not supported.
The administration server will be the local host.
Initializing configuration...
Creating /etc/krb5/krb5_cfg_type...
Creating /etc/krb5/krb5.conf...
Creating /var/krb5/krb5kdc/kdc.conf...
Creating database files...
Initializing database '/var/krb5/krb5kdc/principal' for realm 'REALM1.IBM.COM'
master key name 'K/M@REALM1.IB
最低0.47元/天 解锁文章
cusi77914
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kerberos加密级别不支持的问题
木木与呆呆的专栏
12-03 817
1.问题现象 Zookeeper开启kerberos认证后出现如下问题,不支持的加密级别: 2017-02-23 09:20:57,048 [myid:1] - WARN [NIOWorkerThread-1:ZooKeeperServer@1080] - Client failed to SASL authenticate: javax.securit...
Systemctl start krb5kdc 无法启动Kerberos服务解决办法
m0_74972727的博客
04-04 1667
Job for kadmin . service failed because the control process exited with error code . See " systemctl status kadmin . service " and " journalctl - xe " for details
01、Kerberos安全认证之原理及搭建命令使用学习笔记
最新发布
每个人都是独一无二的,把握好自己的节奏,跟着自己的心走。
07-11 999
学习kerberos主要原因是目前部门里会有测试kerberos连通性的问题bug,所以以此来系统学习下kerberos安全认证,主要是学习在kerberos安全配置下如何去访问各个大数据组件。
网络身份认证——Kerberos配置及认证
weixin_34125592的博客
12-13 1246
教材:《信息系统安全概论》 实验目的 Windows域下kerberos的实现,对用户是否透明,尽可能多的描述细节。 学习Kerberos的安装和配置方法,掌握和了解Kerberos的工作原理和实现原理,使用Kerberos实现网络身份认证。 实验要求 1)阅读教材4.6节内容,分别说明客户机与三类服务器所需完成的任务及以及这种身份认证方式的优缺点。 2)在Kerberos服务端,查询KDC的配置...
kerbero更改加密类型已测可用
记录工作所遇问题及个人概念理解
10-11 1521
更改之前先备份principal,或者记录现有环境的principal,更改完之后重新添加 /usr/sbin/kdb5_util dump /cfs/backup.dump kadmin.local list_principals 1.修改kerberos服务器(主从的话2台都要修改)kdc.conf文件 vim /var/kerberos/krb5kdc/kdc.conf [logging] default = FILE:/data/emr/krb5/krb5libs.log kdc =
Kerberos 原理简介
码的世界
05-27 947
Kerberos 是非常出名的密钥分配协议,同时也兼具了鉴别协议的功能,也是一个 KDC(Key Distribution Center,密钥分配中心)。Kerberos 采用 AES 进行加密,所以安全性更高。 Kerberos 的工作原理 其核心思想是这样的:和我们平时生活一样,当我需要到社区中心盖一些章的时候,社区中心往往需要你提供一个证明,证明你是你,这样的证明通常你需要找派出所去开具。所以这个 AS 就像是派出所,而 TGS 就像是社区中心。 关键术语介绍 AS(Authentication S
ansible-role-configure_kerberos_kdcs:配置Kerberos KDC
04-08
配置Kerberos KDC 要求 没有任何。 角色变量 没有任何。 依存关系 没有任何 剧本范例 - hosts: servers roles: - { role: 'johanneskastl.configure_kerberos_kdcs' } 执照 BSD-3条款 作者信息 我是Johannes ...
JAAS.rar_Action!_Jaas Kerber_jaas KERBEROS_kerberos Java_login.a
09-24
总结来说,这个资源提供了学习和实践Java使用JAAS与Kerberos进行安全认证和授权的实例,涵盖了从设置登录模块到执行安全操作的完整流程,对于提升开发者在安全领域的技能非常有帮助。通过深入理解和应用这些概念,...
kerb_module_auth-5.4_samect5_somebodyoev_Kerberos_auth.4pyun.com
10-01
在标题"kerb_module_auth-5.4_samect5_somebodyoev_Kerberos_auth.4pyun.com"中,我们可以看出这是关于Kerberos认证模块的一个版本,可能是针对特定环境或用户(如somebodyoev)定制的。"samect5"可能代表一种特定的...
大嘴青蛙KDC加密协议简单实现_vs2013
04-29
这里我们关注的是“大嘴青蛙KDC加密协议简单实现_vs2013”项目,它是一个使用Visual Studio 2013开发的简单加密通信模拟协议,主要采用了Kerberos认证服务(KDC,Key Distribution Center)的概念。KDC是一种可信的...
kerberos安装包
01-01
安装kerberos5时需要的rpm包,版本1.15.1-37.el7_6.x86_64。里面4个文件:krb5-libs-1.15.1-37.el7_6.x86_64.rpm;krb5-server-1.15.1-37.el7_6.x86_64.rpm;krb5-workstation-1.15.1-37.el7_6.x86_64.rpm;libkadm5...
解决no supported default etypes for default_tkt_enctypes问题,jce_policy-8.zip下载
11-11
JAVA连接hive/hbase/sparksql/hdfs,kerbers认证失败 报no supported default etypes for default_tkt_enctypes ,需要更新jdk8的安全jar包,用来处理keytab文件,可以在oracle官网下,但是要注册账号,也可以下我的。
kerberos安装配置
hongbinchen的专栏
08-23 1963
原文地址:http://running.iteye.com/blog/963383 kerberos安装配置 博客分类:  hadoop 配置管理XMLWeb 安装步骤:  1.下载krb5-1.9  http://web.mit.e
配置hive后启动trino报错KrbException: no supported default etypes for default_tkt_enctypes
shy_snow的专栏
04-12 574
KrbException: no supported default etypes for default_tkt_enctypes 解决: 在 /etc/krb5/krb5.conf 文件的 libdefaults 部分中设置 allow_weak_crypto = true,然后重启Trino。这是因为jdk-17默认禁用了arcfour-hmac-md5-exp、des-cbc-md5 和 des-cbc-crc 弱加密类型
Kerberos 的安装和使用
u011250186的博客
11-25 3781
Kerberos 的安装和使用
Kerberos安全认证部署和使用(HDP)
清平乐的技术专栏
09-22 2387
对于客户端而言,集群开启Kerberos之后,可以对可信任的客户端提供认证,使得可信任客户端能够正确提交作业,恶意用户无法伪装成其他用户侵入到集群当中,能够有效防止恶意冒充客户端提交作业的情况。对于服务端而言,集群开启Kerberos之后,集群中的服务都是可以信任的,集群服务之间使用密钥进行通信,避免了冒充服务的情况。 开启Kerberos能够提升集群的安全性,但是也会提升用户使用集群的复杂度,提交作业的方式与没有开启Kerberos前会有一些区别,需要对作业进行改造,增加Kerberos认证的相关内容。
Kerberos】ambari启用kerberos 报错处理
人生所向,皆是美好
03-02 5919
文章目录一、 ambari中启用kerberos报错Invalid KDC administrator credentials. Please enter admin principal and password.二、Can not fetch master key (error: No such file or directory). while initializing kadmin.loca...
kerberos管理开发总结
Show something
11-21 2958
从10月23日左右,到10月27日搬完代码,到今天11月20日;小一个月已经过去了; kerberos管理所花的时间超出了我的预期。 当然,中间出了很多七七八八的是,干扰了开发。 比如,xjl事件,联通总部数据域项目,以及一些其他的事情。 好在现在基本开发完了,还有一些小瑕疵,可留在后续解决,现在急需对过去一月的工作进行总结整理。 通过这次开发,大量借用ambar
oracle 密钥管理,管理密钥表文件 - Oracle Solaris 11.1 管理:安全服务
weixin_30366435的博客
04-04 343
管理密钥表文件提供服务的每台主机都必须包含一个名为 keytab 的本地文件,keytab 是“key table”的缩写。密钥表包含相应服务的主体,称为服务密钥。服务使用服务密钥向 KDC 进行自我验证,并且只有 Kerberos 和服务本身知道服务密钥。例如,如果您有基于 Kerberos 的 NFS服务器,则该服务器必须具有包含其 nfs 服务主体的密钥表文件。要将服务密钥添加至密钥表文件,...
kerberos认证_Mac里捣腾Kerberos(一)
05-16
Kerberos是一种网络认证协议,用于验证用户和服务器之间的身份。在Mac上,可以使用Kerberos来进行身份验证,以便在使用网络服务时不需要再次输入用户名和密码。以下是在Mac上配置Kerberos的步骤: 1. 安装Kerberos ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值