Kerberos 身份认证原理

最新推荐文章于 2024-05-03 22:01:44 发布
最新推荐文章于 2024-05-03 22:01:44 发布
阅读量2.3k 收藏 6
点赞数 2
分类专栏: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/genglei1022/article/details/99951777
版权

 

Kerberos 身份认证原理

Kerberos 是一种基于对称密钥技术的身份认证协议,它作为一个独立的第三方的身份认证服务,可以为其它服务提供身份认证功能,且支持 SSO (即客户端身份认证后,可以访问多个服务如 HBase/HDFS 等)。

Kerberos 协议过程主要有两个阶段,第一个阶段是 KDC 对 Client 身份认证,第二个阶段是 Service 对 Client 身份认证

 

  • KDC

    Kerberos 的服务端程序

  • Client

    需要访问服务的用户(principal),KDC 和 Service 会对用户的身份进行认证

  • Service

    集成了 Kerberos 的服务,如 HDFS/YARN/HBase 等

  • KDC 对 Client 身份认证

    当客户端用户(principal)访问一个集成了 Kerberos 的服务之前,需要先通过 KDC 的身份认证。

    若身份认证通过则客户端会拿到一个 TGT(Ticket Granting Ticket),后续就可以拿该 TGT 去访问集成了 Kerberos 的服务。

  • Service 对 Client 身份认证

    当 2.1 中用户拿到 TGT 后,就可以继续访问 Service 服务。它会使用 TGT 以及需要访问的服务名称(如 HDFS)去 KDC 获取 SGT(Service Granting Ticket),然后使用 SGT 去访问 Service,Service 会利用相关信息对 Client 进行身份认证,认证通过后就可以正常访问 Service 服务。

基本流出就是:

  1. Client向KDC申请TGT(Ticket Granting Ticket)。

  2. Client通过获得TGT向DKC申请用于访问Server的Ticket。

  3. Client最终向为了Server对自己的认证向其提交Ticket。

kerberos有效期时间

vim /etc/krb5.conf //修改krbs.conf配置文件

里面有一个属性 :
ticket_lifetime = 24h

安全用户登陆:

Kerberos认证支持两种方式:密码认证及keytab认证。认证有效时间默认为24小时。

  • 密码认证:通过输入用户正确的密码完成身份认证。主要在运维管理场景中使用“人机”用户进行认证,命令为kinit 用户名
  • keytab认证:keytab文件包含了用户的安全信息。使用keytab文件认证时,系统自动使用加密的凭据信息进行认证无需输入用户密码。主要在组件应用开发场景中使用,且使用“机机”用户。keytab文件也支持在kinit命令中使用。
#安全集群,则需要执行kinit -kt <keytab file> <pricipal name> 进行认证
#机机登陆的时候resinse 用户
kinit -kt /root/mrs/resines.keytab resines 

#人机登陆
kinit  resines
Resines
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kerberos 认证协议
albon arith
08-01 742
Kerberos 认证协议 Kerberos 认证协议是基于对称密钥认证协议,主要组成部分如下图所示: KDC:Kerberos Distribution Center,作为 Client、Server 共同信任的第三方,起着重要的协调作用。包含 Authentication Server 和 Ticket Granting Server。 AS:Authentication Server,认证 Client、Server 为其颁发 与 TGS 交互的 Session Key。 TGS:Ticket G
kerberos认证原理
real向往的博客
07-29 1222
什么是kerberos kerberos就是一种计算机网络的授权协议,可以用在非安全的网络环境中,对个人通信以安全的手段进行身份认证。同时,客户端与服务器端均可向对方进行身份认证,因此可用于防止窃听,保护资料完整性的应用中。基本上, kerberos是通过对称秘钥的方式来进行资料加密的。 server如何确认client的来源也是正确的?此外,如果第一次连线的时候,那部server本身就有问题...
Windows认证机制和协议---Kerberos协议
最新发布
Naive的博客
05-03 1179
Kerberos协议是由麻省理工学院提出的一种网络身份认证协议,提供了一种在开放的非安全网络中认证识别用户身份信息的方法。其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假设网络上传送的数据包是可以被任意的读取、修改和插入数据。在以上情况下,Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的.
Kerberos认证原理
Hi~ 土拨鼠
04-21 2215
文章目录Kerberos介绍 Kerberos介绍 Kerberos一种计算机网络授权(身份验证)协议,旨在通过秘钥加密技术为客户端/服务器应用程序提供身份验证,用来在非安全网络中,对个人通信以安全的手段进行身份认证,主要应用在域环境下的身份验证。 下图为大概的认证流程,共包含有三个重要的角色:Client、Server和KDC 相关名词介绍: 访问服务的Client 提供服务的Server KDC(Key Distribution Center) 密钥分发中心,在KDC中又分为两个部分:Authen
Kerberos安全认证原理
weixin_38569499的博客
04-07 1800
目录 1、Kerberos是什么 2、主要角色 3、基本概念 4、认证过程 4.1 初始验证 4.2获取服务票据 4.3服务验证 5、环境假设 6、局限性 7、相关命令 参考文档: 协议协议 主要命令:主要命令 1、Kerberos是什么 Kerberos一种一种网络身份验证协议,只包括验证环节,不负责授权。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。 用户只需输入一次身份验证信息,就可凭借此验证获得的票据授予票据(ticke...
kerberos
liu_xue_xue的专栏
02-04 1896
kerberos 1.kerberos 介绍 Kerberos一种基于对称密钥身份认证协议,它作为一个独立的第三方的身份认证服务,可以为其它服务提供身份认证功能,且支持SSO(即客户端身份认证后,可以访问多个服务如HBase/HDFS等)。 Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(tic...
详解:Kerberos身份验证技术.docx
10-30
本主题将说明Kerberos身份验证是什么以及Windows Server 2003支持的Kerberos V5协议和扩展如何工作。 在这个主题 什么是Kerberos身份验证? Kerberos版本5身份验证协议的工作原理 Kerberos身份验证工具和设置
Kerberos身份认证方案.pdf
07-11
Kerberos身份认证方案是一种广泛应用于计算机网络安全的身份验证协议,主要由Internet Engineering Task Force (IETF)制定,并在最新的版本中为V5。Kerberos的设计目标是提供一种基于对称密钥加密的安全服务,允许在...
Kerberos原理
07-04
服务服务器验证服务票据的有效性,确认用户已通过Kerberos认证,然后使用票据中的会话密钥与用户建立安全连接。 Kerberos协议通过以下步骤完成认证过程: 1. **身份验证**:用户向AS发送请求,包含用户名和加密的...
Kerberos原理
11-15
Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”系统设计上采用客户端/服务器结构与DES加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止replay...
kerberos安全认证
12-29
Kerberos一种广泛应用于网络身份验证的安全协议,它由麻省理工学院开发并设计,旨在提供强身份验证和加密通信。在IT行业中,Kerberos是实现企业级系统安全的重要工具,尤其在大数据生态系统中,如Spark、Oozie、...
身份认证 对称密钥认证协议 公开密钥认证协议 公钥基础设施PKI
aiwo1376301646的博客
04-29 7285
要点: 1:了解身份认证的概念及意义; 2:了解各种认证协议的基本思想,重点掌握Kerberos工作原理; 3:了解公钥基础设施PKI的基本思想,重点掌握X.509协议; 4.1概述: 随着互联网的不断发展,人们逐渐开始尝试在网络上购物、交易以及各种信息交流。然而黑客、木马以及网络钓鱼等恶意欺诈行为,给互联网络的安全性带来了极大的挑战。层出不穷的网络犯罪,引起了人们对网络身份的信任...
Kerberos协议详解
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
06-23 900
Kerberos协议一种用于网络身份验证的协议,最初是由麻省理工学院研究人员开发的,广泛应用于现代计算机网络中。Kerberos协议提供了一个机制,使得用户可以在无需重复输入密码的情况下,在计算机网络上访问多个计算机系统。是为了确保计算机网络中的用户身份验证、授权和访问控制的安全性。其主要设计目标包括:强身份认证:Kerberos协议使用基于加密的身份验证机制,确保用户身份的真实性。在协议中,TGT和服务票据都是基于密钥加密的,只有拥有正确密钥的身份才能加密和解密这些消息。
kerberoskerberos 认证浅析
九师兄
06-28 2309
转载并且补充:Kerberos认证浅析在希腊神话中Kerberos是守护地狱之门的一条凶猛的三头神犬,而本文介绍的Kerberos认证协议是由美国麻省理工学院(MIT)首先提出并实现的。Kerberos认证是一个三路处理过程,依赖称为密钥分发中心(KDC)的第三方服务来验证计算机相互的身份,并建立密钥以保证计算机间安全连接。本质上每台计算机分享KDC一个秘钥,而KDC有两个部件:一个Kerberos 认证服务器和一个票据授权服务器。如果KDC不知道被请求目标服务器,则会求助于另一个KDC来完成认证。它允许在
kerberos简介
QTM_Gitee的博客
05-04 4006
维护网络内的系统安全性和完整性至关重要,它涵盖了网络基础架构中的每个用户,应用程序,服务和服务器。 它需要了解网络上正在运行的所有内容以及这些服务的使用方式。 维护此安全性的核心是维护对这些应用程序和服务的访问并强制执行该访问。 Kerberos一种比普通的基于密码的认证更加安全的认证协议。使用Kerberos,即使在其他计算机上访问服务时也永远不会通过网络发送密码。 Kerberos提供了一种机制,允许用户和机器向网络标识自己,并接收对管理员配置的区域和服务的定义的、受限的访问权限。Kerberos通过
Kerberos身份验证支持,Wine 3.1开发版日前发布
weixin_30404405的博客
02-04 73
Wine 3.1是第一款面向下一款Wine 4.0稳定版的发布版,几天前已经发布。 Wine 3.1的特点: Kerberos身份验证支持。 窗口类重定向Common Controls 6.0控件。 支持X11 ARGB视觉效果。 运行DOS可执行文件所需的DOSBox。 另外还有29个bug修复,从修复Qt5应用到侠盗猎车手V到Doom 4/DOOM 2016问题以及其他游戏...
Kerberos身份认证在域用户工作站登录中的应用
weixin_33754065的博客
10-23 231
本文出自 “王达博客” 博客,转载请与作者联系! 作者已授权本博客转载 以下内容摘自由笔者编写,并将在明年初出版的《网络工程师必读——网络安全系统设计》一书中(书名可能会更改)。 6.7.3Kerberos身份认证在域用户工作站登录中的应用 假设用户在tailspintoys.com域中有自己的网络账户。用户自己的工作站也属于tailspintoy...
kerberos】hadoop集群使用keytab认证的逻辑
lisacumt的专栏
03-08 1187
hadoop集群使用keytab认证的逻辑
Kerberos认证原理与环境部署
匠人精神,持之以恒!
06-04 3856
官网:https://www.kerberos.org/ 官方文档:http://web.mit.edu/kerberos/krb5-current/doc/Kerberos中有以下一些概念需要了解:用户principal的形式:其中Instance是可选 的,通常用于更好地限定用户的类型。比如,一个管理员用户通常会有admin instance,即。下面是指代用户的 一些principal的例子: 2)服务principal 用户principal的形式:下面是指代服务principal的例子: 三、Ke
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值