配置kerberos环境_使用Kerberos身份验证机制配置IPsec环境

最新推荐文章于 2023-03-16 22:22:04 发布
最新推荐文章于 2023-03-16 22:22:04 发布
阅读量2.3k 收藏
点赞数
文章标签: linux java 数据库 nginx 安全
原文链接:https://www.ibm.com/developerworks/aix/library/au-aix-ipsec-env/index.html
版权

Kerberos简介

Kerberos是一种用户身份验证协议,可用于采用对称加密的票证机制。 在IBM®AIX®中,Kerberos协议是通过网络认证服务提供的。 因此,在本文中,我们将交替使用Kerberos和网络身份验证服务。

从高层次上讲,Kerberos身份验证在客户端/服务器模型上起作用,客户端与服务器联系以获得票证。 在这里,客户端可以是用户或服务(例如:Telnet,FTP,SSH,IPsec等)。 在Kerberos身份验证过程中,服务器和客户端之间交换以下两种类型的票证:

  • 机票授予票(TGT)
  • 服务票

在Kerberos中,要认证的用户或服务称为principal 。

服务器,通常称为密钥分发中心(KDC),包含其网络内所有主体的私钥。 该服务器包含两部分:身份验证服务器和票证授予服务器。 您可以注意到,配置了网络身份验证服务服务器后,守护程序(krb5kdc)开始运行。 该守护程序执行KDC的以下任务:

  1. 客户端向KDC发送请求。
  2. KDC的身份验证服务器检查请求,并将TGT发送给客户端。 使用客户端的密码对该TGT进行加密。 因此,只有客户端才能解密此消息,这可以作为客户端身份的证明。
  3. 如果客户端需要使用任何服务,则客户端会向KDC发送另一个请求。 该请求包括TGT及其需要使用的服务。
  4. 现在,此请求由KDC的票证授予服务器处理。 它验证请求并向客户端系统发出服务票证。 这可以作为服务方客户身份的证明。
  5. 客户端将服务票证转发到它需要使用的服务。
  6. 该服务与KDC的票证授予服务器联系,以对票证进行验证,最后,它向用户提供访问权限以使用该服务。
图1. Kerberos配置

IPsec简介

IPsec是在网络堆栈的IP层提供安全性的协议。 这样可以确保在两个系统之间传输的所有数据包都经过加密。

可以通过预共享密钥,公共密钥基础结构或Kerberos身份验证机制来实现两个通信系统之间的身份验证。 图2表示基本的IPsec配置。

图2. IPsec基本配置

本文介绍了如何将Kerberos身份验证与IPsec协议一起使用,以确保对两个系统之间传输的所有数据包进行加密。

先决条件

在我们使用Kerberos身份验证执行IPsec之前,请确保满足以下先决条件,否则将在安装过程中导致失败:

  1. 确保所有AIX系统上的主机名均为标准域名(FQDN)形式。
  2. 默认情况下,设置了Java™的某些命令。 因此,请确保已更改PATH环境变量,以考虑/ usr / krb5 / sbin和/ usr / krb5 / bin /中的Kerberos命令路径。
  3. Kerberos票证包含有关票证生成时间的信息,并且在几分钟的间隔内有效。 因此,请确保交互系统之间的时间同步与系统之间的最大差异为5分钟。

本文范围

根据本文,我们将配置三个系统:

  • 一个系统将配置为Kerberos服务器,它提供身份验证服务和票证授予服务
  • 在其他两个系统之间将建立一个IPsec通道
    • 一个系统充当IPsec启动器。
    • 另一个系统充当IPsec响应者。

对于Kerberos身份验证,要求IPsec启动器系统获得初始TGT并使用IPsec响应器系统上提供的IPsec服务。 因此,这两个系统也都充当Kerberos客户端系统。

配置完这些系统后,我们可以从IPsec启动器系统ping通IPsec响应器系统,并验证IPsec隧道是否处于活动状态。 我们还可以确认Kerberos票证是否在Kerberos客户端系统上正确获得。

图3.带有Kerberos配置的IPsec

如图3所示,我们将britmanual06配置为Kerberos服务器系统,将britmanual07配置为IPsec启动器系统,将britmanual08配置为IPsec响应器系统。 将在britmanual07和britmanual08系统之间建立IPsec隧道。

配置步骤

使用kerberos身份验证执行IPsec所需的配置步骤可以分为以下两个阶段:

  1. 将一个系统配置为Kerberos服务器,将其他两个系统配置为Kerberos客户端。
  2. 将一个Kerberos客户端系统配置为IPsec启动器,将另一个客户端系统配置为IPsec响应器。

1.配置Kerberos服务器和Kerberos客户端系统

您需要执行以下步骤来配置Kerberos服务器和客户端系统:

  1. 确保在所有三个(服务器和客户端)系统上都安装了与Kerberos相关的文件集(如前所述,一个系统将用作Kerberos服务器,并且Kerberos文件集的安装将显示以下输出: 
    # installp -acXYgd . *
+-----------------------------------------------------------------------------+
                    Pre-installation Verification...
+-----------------------------------------------------------------------------+
Verifying selections...done
Verifying requisites...done
Results...

SUCCESSES
---------
  Filesets listed in this section passed pre-installation verification
  and will be installed.

  Selected Filesets
  -----------------
  krb5.client.rte 1.6.0.3                     # Network Authentication Servi...
  krb5.client.samples 1.6.0.3                 # Network Authentication Servi...
  krb5.lic 1.6.0.3                            # Network Authentication Servi...
  krb5.server.rte 1.6.0.3                     # Network Authentication Servi...
  krb5.toolkit.adt 1.6.0.3                    # Network Authentication Servi...

  << End of Success Section >>

+-----------------------------------------------------------------------------+
                   BUILDDATE Verification ...
+-----------------------------------------------------------------------------+
Verifying build dates...done
FILESET STATISTICS
------------------
    5  Selected to be installed, of which:
        5  Passed pre-installation verification
  ----
    5  Total to be installed

+-----------------------------------------------------------------------------+
                         Installing Software...
+-----------------------------------------------------------------------------+

installp: APPLYING software for:
        krb5.lic 1.6.0.3


……………………………………………..……………………………………………..
……………………………………………..……………………………………………..
……………………………………………..……………………………………………..
……………………………………………..……………………………………………..
……………………………………………..……………………………………………..
+-----------------------------------------------------------------------------+
                                Summaries:
+-----------------------------------------------------------------------------+

Installation Summary
--------------------
Name                        Level           Part        Event       Result
-------------------------------------------------------------------------------
krb5.lic                    1.6.0.3         USR         APPLY       SUCCESS    
krb5.client.rte
最低0.47元/天 解锁文章
cusi77914
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用IPsec实现网络安全之五(Kerveros实现身份验证)
阳光梦的专栏
08-30 2521
作者:许本新 上文说到利用证书服务实现IPSEC验证,今天接着说利用Kerberos协议实现IPsec验证。在介绍操作之间我们先了解一下什么是kerberos协议。 kerberos是由MIT开发的提供网络认证服务的系统。它可用来为网络上的各种server提供认证服务,使得口令不再是以明文方式在网络上传输,并且联接之间通讯是加密的。它和PKI认证的原理不一样,PKI使用公钥体制(不对称密码体制
【大数据安全-KerberosKerberos常见问题及解决方案_gss initiate failed
最新发布
2401_84573531的博客
05-15 975
请参阅配置Kerberos客户端配置krb5.conf以使用TCP和/或调查网络问题。请参阅在与KDC通信时强制Kerberos客户端使用TCPa-d:确保服务的主机名,URL,通信的NIC和keytab匹配。从Cloudera Manager中,导航到 管理>安全性 ,然后单击 导入Kerberos帐户管理器凭据以将管理凭据重新导入到Cloudera Manager中。确保主机名解析为与KDC和其他服务通信的服务的IP。查看:错误:访问Oozie WebUI时出现“ HTTP状态401”
IPsec 身份认证Kerberos
人生如棋
05-31 2886
配置IPsec时,使用Kerberos 身份验证方法。
基于IPSec的×××配置实验
weixin_34244102的博客
07-05 169
一、搭建实验环境: DynamipsGUI、SecureCRT、unzip-c3640-ik9o3s-mz.124-10.bin的CiscoIOS镜像文件 R1模拟分部路由器,R2模拟Internet, R3模拟总部路由器。 并且在R1及R3上使用回环接口模拟各自内部局域网主机 具体IP地址及路由如下: R1: fa0/0:1...
Kerberos的介绍与认证机制
m0_48187193的博客
04-13 1021
Kerberos的介绍与认证机制 如下是翻译过来的~~,写的得劲。 系列文章目录 文章目录Kerberos的介绍与认证机制系列文章目录一.kerberos的背景二.kerberos 被应用的场景三.kerberos的相关概念3.1基本身份验证概念3.2密钥身份验证3.3验证器消息3.4密钥分发3.5会话票证3.5票证授予票证(TGT)四.Kerberos的授权流程4.1认证服务交换五.Kerberos的策略 一.kerberos的背景 Kerberos于1983年被开发为MIT雅典娜计划的身份验证引擎。
IPSec加密你内部网的SQL Server数据通信(一)——使用Kerberos或预共享密钥验证确保安全.pdf
09-19
同时,文章也提供了如何使用IPSec的详细步骤,包括如何配置IPSec策略、如何使用Kerberos或预共享密钥验证等。 本文为读者提供了详细的指导,帮助他们保护内部网络的SQL Server数据通信,确保数据的安全性。 IPSec...
混合环境中如何使用IPSec实施SDI 将SDI延伸到UNIX和Linux系统.pdf
09-06
这包括设置规则,定义哪些系统需要使用IPSec,以及如何进行身份验证和加密。 对于UNIX和Linux系统,配置过程可能因具体的操作系统版本而异,但基本步骤包括安装和配置IPSec软件,设置预共享密钥,并创建相应的安全...
安装和配置 Microsoft iSCSI 发起程序.docx
10-08
Microsoft iSCSI发起程序利用Windows TCP/IP堆栈的IPsec功能,支持预共享密钥、Kerberos协议和证书进行身份验证。此外,它还支持隧道模式、传输模式、3DES加密和HMAC-SHA1算法。iSCSI硬件适配器可能提供不同的IPsec...
Windows_Server_XXXX_IP_安全策略.pptx
09-25
3. 验证方法:用于验证通信双方身份的方法,可以使用Kerberos V5协议、数字证书或预先共享的密钥。 4. 隧道终结点:如果通信采用隧道方式,此部分会指定隧道的终点IP地址。 默认的IP安全策略包括三种类型:服务器...
ipsec,用于简单是设置2003的ip安全策略
11-20
1. **身份验证方法**:这是IPSec协商过程的起点,常见的身份验证方法有预共享密钥、数字证书和 Kerberos 等。在Windows 2003中,预共享密钥是最简单的设置方式,适合小型网络环境。 2. **过滤规则**:定义哪些流量...
基于VMWare的IPSec综合实验设计
07-24
IPSec 是互联网的基础安全协议。建立 IPSec 安全通道之前,对等体之间需要进行身份认证IPSec 身份认证的传统实验是通过“预共享密钥”的方式来进行的。设计了两个更通用的 IPSec 身份认证实验:“基于证书”和“基于Kerberos 协议”。而基于虚拟机平台的实验具有更方便、更经济的优点。此外本实验还涉及到了 Windows 平台上各种安全设置,如活动目录、DNS 服务器、DHCP 服务器,防火墙、证书颁发中心 CA 等,具有很强的综合性。
网络身份认证——Kerberos配置认证
weixin_34125592的博客
12-13 1239
教材:《信息系统安全概论》 实验目的 Windows域下kerberos的实现,对用户是否透明,尽可能多的描述细节。 学习Kerberos的安装和配置方法,掌握和了解Kerberos的工作原理和实现原理,使用Kerberos实现网络身份认证实验要求 1)阅读教材4.6节内容,分别说明客户机与三类服务器所需完成的任务及以及这种身份认证方式的优缺点。 2)在Kerberos服务端,查询KDC的配置...
kerberos命令文档_在AIX V6上的telnet,FTP和r命令中配置并启用Kerberos认证
cusi77914的博客
06-20 434
AIX中的网络应用程序(例如,telnet,FTP和rlogin,rsh,rcp等r命令)固有地支持Kerberos认证。 管理员所需要做的就是安装和配置Kerberos配置AIX系统(进而是其应用程序)以使用Kerberos设置进行身份验证Kerberos身份验证意味着,一旦您拥有有效的Kerberos票证(通过手动的/usr/krb5/bin/kinit或集成登录名获得),网络应用...
HDFS配置Kerberos认证
热门推荐
wulantian的专栏
12-26 4万+
HDFS配置Kerberos认证 2014.11.04 本文主要记录 CDH Hadoop 集群上配置 HDFS 集成 Kerberos 的过程,包括 Kerberos 的安装和 Hadoop 相关配置修改说明。 注意: 下面第一、二部分内容,摘抄自《Hadoop的kerberos的实践部署》,主要是为了对 Hadoop 的认证机制Kerberos 认证协议做个简单
Kerberos 的安装和使用
u011250186的博客
11-25 3711
Kerberos 的安装和使用
kerberos 5
架构之美
12-14 417
kadmin.local: listprincs K/M@JACK kadmin/admin@JACK kadmin/changepw@JACK kadmin/hadoopmaster.jack@JACK krbtgt/JACK@JACK kadmin.local: addprinc admin/admin@JACK WARNING: no policy specified fo...
Spring Boot(六十三):使用sfpt实现简单的文件下载及上传
u013938578的博客
03-16 1452
而SFTP协议是在FTP的基础上对数据进行加密,使得传输的数据相对来说更安全。但是这种安全是以牺牲效率为代价的,也就是说SFTP的传输效率比FTP要低(不过现实使用当中,没有发现多大差别)。之前项目遇到从文件服务器上传、下载、删除文件,一开始打算使用一些高级的文件系统,比如:FastDFS,GlusterFS,CephFS,这些高级厉害的文件存储系统,但是由于环境限制无法搭建,最终使用常用的FFTP或者SFTP实现文件上传和下载。2.SFTP更安全,但更安全带来副作用就是的效率比FTP要低些。
ipsec实验-kerberos认证
04-05
3. 配置IPsecKerberos集成:将IPsecKerberos集成,可以实现对IPsec隧道的身份验证。这样,在建立IPsec隧道时,将使用Kerberos提供的票据来验证通信双方的身份。 4. 进行实验测试:完成以上配置后,可以进行实验...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值