Kerberos简介

最新推荐文章于 2024-05-21 09:43:16 发布
最新推荐文章于 2024-05-21 09:43:16 发布
阅读量1.3k 收藏
点赞数
分类专栏: 信息安全
基本描述

Kerberos使用Needha-Schroeder协议作为它的基础。它使用了一个由两个独立的逻辑部分:认证服务器和票据授权服务器组成的"可信赖的第三方",术语称为密钥分发中心(KDC)。Kerberos工作在用于证明用户身份的"票据"的基础上。

KDC持有一个密钥数据库;每个网络实体——无论是客户还是服务器——共享了一套只有他自己和KDC知道的密钥。密钥的内容用于证明实体的身份。对于两个实体间的通信,KDC产生一个会话密钥,用来加密他们之间的交互信息。

协议内容

协议的安全主要依赖于参加者对时间的松散同步和短周期的叫做Kerberos票据的认证声明。下面是对这个协议的一个简化描述,将使用以下缩写:

  • AS(Authentication Server)= 认证服务器

  • TGT(Ticket Granting Ticket)= 票据授权票据,票据的票据
  • TGS(Ticket Granting Server)= 票据授权服务器
  • SS(Service Server)= 服务器

其在网络通讯协定中属于显示层。

简单地说,用户先用共享密钥从某认证服务器得到一个身份证明。随后,用户使用这个身份证明与SS通信,而不使用共享密钥。

具体流程

(注意:此流程使用了对称加密;此流程发生在某一个Kerberos领域中;小写字母c,d,e是客户机发出的消息,大写字母A,B,E,F,G,H是各个服务器发回的消息。)

首先,用户使用客户机(用户自己的机器)上的程序登录:

  1. 用户输入用户ID和密码到客户机。
  2. 客户机程序运行一个单向函数(大多数为杂凑)把密码转换成密钥,这个就是客户机(用户)的"用户密钥"(K_client)。受信任的AS通过某些安全的途径也获取了与此密钥相同的密钥。

随后,客户机认证(客户机从AS获取票据的票据(TGT)):

  1. 客户机向AS发送1条消息(注意:用户不向AS发送密钥(K_client),也不发送密码):
    • 包含用户ID的明文消息,例如"用户Sunny想请求服务"(Sunny是用户ID)
  2. AS检查用户ID有效性,而后返回2条消息:
    • 消息A:用户密钥(K_client)加密后的"客户机-TGS会话密钥"(K_TGS-session)(会话密钥用在将来客户机与TGS的通信(会话)上)
    • 消息B:TGS密钥(K_TGS)加密后的"票据授权票据"(TGT)(TGT包括:客户机-TGS会话密钥(K_TGS-session),用户ID,用户网址,TGT有效期)
  3. 客户机用自己的密钥(K_client)解密A,得到客户机-TGS会话密钥(K_TGS-session)。(注意:客户机不能解密消息B,因为B是用TGS密钥(K_TGS)加密的)。

然后,服务授权(客户机从TGS获取票据(T)):

  1. 客户机向TGS发送以下2条消息:
    • 消息c:即消息B(K_TGS加密后的TGT),和想获取的服务的服务ID(注意:不是用户ID)
    • 消息d:客户机-TGS会话密钥(K_TGS-session)加密后的"认证符"(认证符包括:用户ID,时间戳)
  2. TGS用自己的密钥(K_TGS)解密c中的B得到TGT,从而得到AS提供的客户机-TGS会话密钥(K_TGS-session)。再用这个会话密钥解密d得到用户ID(认证),而后返回2条消息:
    • 消息E:服务器密钥(K_SS)加密后的"客户机-服务器票据"(T)(T包括:客户机-SS会话密钥(K_SS-session),用户ID,用户网址,T有效期)
    • 消息F:客户机-TGS会话密钥(K_TGS-session)加密后的"客户机-SS会话密钥"(K_SS_session)
  3. 客户机用客户机-TGS会话密钥(K_TGS-session)解密F,得到客户机-SS会话密钥(K_SS_session)。(注意:客户机不能解密消息E,因为E是用SS密钥(K_SS)加密的)。

最后,服务请求(客户机从SS获取服务):

  1. 客户机向SS发出2条消息:
    • 消息e:即消息E
    • 消息g:客户机-服务器会话密钥(K_SS_session)加密后的"新认证符"(新认证符包括:用户ID,时间戳)
  2. SS用自己的密钥(K_SS)解密e/E得到T,从而得到TGS提供的客户机-服务器会话密钥(K_SS_session)。再用这个会话密钥解密g得到用户ID(认证),而后返回1条消息(确认函:确证身份真实,乐于提供服务):
    • 消息H:客户机-服务器会话密钥(K_SS_session)加密后的"新时间戳"(新时间戳是:客户机发送的时间戳加1)
  3. 客户机用客户机-服务器会话密钥(K_SS_session)解密H,得到新时间戳。
  4. 客户机检查时间戳被正确地更新,则客户机可以信赖服务器,并向服务器(SS)发送服务请求。
  5. 服务器(SS)提供服务。

缺陷

  • 失败于单点:它需要中心服务器的持续响应。当Kerberos服务结束前,没有人可以连接到服务器。这个缺陷可以通过使用复合Kerberos服务器和缺陷认证机制弥补。
  • Kerberos要求参与通信的主机的时钟同步。票据具有一定有效期,因此,如果主机的时钟与Kerberos服务器的时钟不同步,认证会失败。默认设置要求时钟的时间相差不超过10分钟。在实践中,通常用网络时间协议后台程序来保持主机时钟同步。
  • 管理协议并没有标准化,在服务器实现工具中有一些差别。RFC 3244描述了密码更改。
  • 因为所有用户使用的密钥都存储于中心服务器中,危及服务器的安全的行为将危及所有用户的密钥。
  • 一个危险客户机将危及用户密码。
idebian
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Debian系统ntpd服务和kerberos服务安装
qq_43536701的博客
11-20 1080
1.ntpd服务安装 安装: apt-get install ntpdate 查看NTP服务器的配置: cat /etc/default/ntpdate 2.kerberos服务安装 所有节点安装DNS服务器 KDC端安装kerberos ① 查看是否安装kerberos dpkg -l krb* 删除已安装的kerberos apt-get remove --purge krb* # krb*替换成具体需要删除的文件 安装kerberos: apt-get install krb5-kdc krb
kerberos_Kerberos入门
cusi77914的博客
07-03 721
来自developerWorks档案库 布鲁斯·里奇,安东尼·纳达林和西奥多·施拉德 存档日期:2019年5月15日 | 首次发布:2001年11月1日 如果您与计算完全无关,那么在接下来的几个月中,您可能会听到很多关于“ Kerberos”的术语。 原因之一可能是“结合Kerberos技术”的Windows 2000或Solaris 8等操作系统的公开发行。 另一个原因可能是有关...
推荐开源项目:Kerberos Open Source - Machinery
最新发布
gitblog_00023的博客
05-21 317
推荐开源项目:Kerberos Open Source - Machinery 项目地址:https://gitcode.com/kerberos-io/machinery 1、项目介绍 Kerberos Open Source 是一个已归档的开源项目,主要目标是提供一种生态、实惠、易用且创新的视频监控解决方案。虽然项目已不再更新,但其核心组件——Machinery 仍然可用,它是一个强大的图像...
【信息安全案例】—知识点复习(期末不挂科版)
HinsCoder的博客
06-02 2512
信息的定义被交流的知识关于客体(如事实、概念、事件、思想、过程等)的知识,它在一定的上下文中具有特定的意义。网络空间是信息时代人们赖以生存的信息环境,是所有信息系统的集合。载体、资源、主体、操作。国家政府、组织团体、个人。信息保密阶段、网络信息安全阶段、信息保障阶段。信息安全防护的基本原则整体性和分层性。
ubuntu下安装kerberos
zhangt85的专栏
09-27 1万+
命令: sudo apt-get install krb5-user 查看kinit 是否安装: which kinit 配置文件: krb5.conf放到/etc目录下 确认启用了GSSAPIAuthentication认证   /etc/ssh/ssh_conf 中的 GSSAPIAuthentication  yes   如果需要票据漫游 把  GSS
kerberos使用中遇到的问题
玩物
03-17 1万+
公司的kerberos认证使用了很久,但是最近新上的一批服务器无法直接免密登录,需要输入密码。此问题查询了将近一个礼拜后,终于得到解决。kerberos的系统组成有至少三部分。1.ServerA (kdc kerberos-admin(kerberos服务端)) 2.ServerB (client(kerberos user),所有用户可以通过这个服务器从服务端索要凭据)。 3.ServerC(服
kerberos协议简介.pdf
07-11
Kerberos 协议简介 Kerberos 协议是一种计算机网络认证协议,允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。该协议基于对称密码学,并需要一个值得信赖的第三方。 Kerberos 协议...
flink写入带kerberos认证的kudu connector
03-24
Kerberos认证简介 Kerberos 是一种网络认证协议,它提供基于票证的验证服务,确保用户和服务之间的通信是安全的。在Hadoop生态系统中,Kerberos通常被用来保护HDFS、HBase、Hive等组件的安全性。Kudu作为Hadoop...
Kerberos-Authentication-Protocol-master.zip_Kerberos
09-24
一、Kerberos简介 Kerberos由麻省理工学院开发,最初设计用于解决开放网络环境中的身份验证问题。该协议基于对称密钥加密技术,通过第三方认证服务器(即Kerberos票证授予服务器,TGS)进行身份验证,确保用户和...
小白快速掌握Hadoop集成Kerberos安全技术频教程
11-04
第一章 Kerberos简介 第二章 环境准备 2.1 使用软件版本信息介绍 2.2 节点架构介绍 2.3 基础系统环境准备 第三章 Kerberos框架搭建 3.1 Kerberos Server搭建 3.2 Kerberos Client搭建 3.3 规划principal 第四章 配置...
kerberus-dashboard:Kerberus仪表板为Kerberus的自助服务目录提供了一个GUI
03-07
Kerberus资讯主页 介绍 Kerberus Dashboard为Kerberus Dashboard提供的自助服务概念提供了一个GUI,包括: 服务目录,用于管理您的所有软件(微服务,库,数据管道,网站,ML模型等) 众多软件模板,用于快速展开新项目并根据组织的最佳实践对工具进行标准化 为使其易于创建,维护,查找和使用技术文档,使用“文档像代码”的方式一个技术文档 不断增长的开源插件生态系统,进一步扩展了Kerberus的可定制性和功能 这个应用程序是一个monorepo设置与,其中包括你需要运行的一切Kerberus Dashboard在自己的环境。 Kerberus Dashboard由CNCF沙箱项目。 仓库布局 . ├── README.md ├── app-config.yaml Config file ├── kubernetes │ └
Kerberoskerberos认证常见错误介绍
热门推荐
wk022的专栏
01-19 5万+
本节按字母顺序 (A-M) 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息。 备注:下面这些错误有部分是通用的错误,所以解决方法并不一定适用所有场景,具体的解决方案是需要具体分析。不能一概而论。 All authentication systems disabled; connectio
Kerberos权威指南》中文精读系列:第1章 - 概述
咕噜咕噜大数据
06-06 1604
自己的一点说明: 《Kerberos: The Definitive Guide(Kerberos权威指南)》一书,由O’Reilly出版社于2003年9月5日出版。距今已经过去了17年的时间。查看这本书在外网的评论,非常有意思,在这本书出版的头几年中(2010年之前)的评论数量,反而是少于2010年后的评论数的。曾经Kerberos对于大部分的开发人员来说都是不必关心的东西,很多人甚至都不知道这个东西的存在,通常只有服务器的运维管理人员在配置Active Directory之类的东西时才会接触到;但是随着
【转】谈谈基于Kerberos的Windows Network Authentication
cheran的专栏
12-13 1105
http://www.cnblogs.com/artech/archive/2007/07/07/809545.html Content: 基本原理 引入Key Distribution: KServer-Client从何而来 引入Authenticator : 为有效的证明自己提供证据 引入Ticket Granting  Service:如何获得Ticket Kerbe
单点登录(SSO)的核心--kerberos身份认证协议技术参考
tanken welcome
12-03 2837
微软Windows Server 2003操作系统实现Kerberos 版本5的身份认证协议。Windows Server 2003同时也实现了公钥身份认证的扩展。Kerberos身份验证的客户端实现为一个SSP(security support provider),能够通过SSPI(Security Support Provider Interface)进行访问。最初的用户身份验证是跟Winlo
在centos7.4用rpm安装kerberos客户端
andyguan01_2的博客
04-12 3876
一、软件环境 centos7.4 二、安装方法 1、下载kerberos客户端所需rpm包 在网站https://pkgs.org/搜索以下3个rpm包: libkadm5 krb5-libs krb5-workstation (还有个krb5-server包,是服务端需要安装的,本次只安装客户端就不需要) 2、安装rpm包 rpm -ivhlibkadm5的rpm文...
【大数据安全-KerberosKerberos常见问题及解决方案
weixin_53543905的博客
04-04 8553
javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)] 可以用来帮助诊断 Kerberos 相关问题的原因并实施解决方案的指南。
Kerberos配置文件
06-27
Kerberos是一种计算机网络认证协议,旨在通过安全手段对个人通信进行身份认证。该协议由麻省理工学院开发,采用客户端/服务器结构,并允许客户端和服务器端相互认证。Kerberos可应用于防止窃听、防止重放攻击和保护...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值