JAAS/GSS-API/SASL/Kerberos简介

最新推荐文章于 2023-06-20 19:30:00 发布
最新推荐文章于 2023-06-20 19:30:00 发布
阅读量1.4k 收藏 7
点赞数 2
分类专栏: kerberos
原文链接:http://www.nosqlnotes.com/technotes/distributed-system-with-kerberos/
版权

1. 前言

如果将Kerberos引入到一个分布式系统中提供身份认证与服务授权时,还涉及到一系列与安全有关的框架技术与接口协议,包括:如何对认证的对象或访问的资源进行抽象?应用通过什么样的接口进行Kerberos认证?如何保障跨节点通信时的安全传输?Java Security中均提供了现成的实现。

2. JAAS

JAASJava Authentication and Authorization Service的缩写,提供了认证与授权相关的服务框架与接口定义:

  • 认证:认证主要是验证一个用户的身份。
  • 授权:授权用户访问或操作某些敏感的资源。

具体可参考:<Java认证与授权服务JAAS基础概念>

3. GSS-API

Java GSS-APIGeneric Security Services Application Program Interface的缩写,主要应用于跨应用程序之间的安全信息交换(secure message exchanges), RFC 2853提供了详细的接口协议定义。应用程序可以通过GSS-API访问Kerberos服务。

JAAS的认证请求,通常先于GSS-API的调用。也就是说,先通过JAAS的接口完成登录认证,而后通过GSS-API来确保后面交换信息的安全性。两者经常被联合一起使用,但也可以单独使用,例如,基于JAAS也可以完成一些简单的认证与授权,一些别的场景下,也可以只使用GSS-API而不使用JAAS

4. SASL

SASLSimple Authentication and Security Layer的缩写,主要应用于跨节点通信时的认证与数据加密,如ClientServer基于RPC进行通信时,可以基于SASL来提供身份认证以及数据加密能力。
SASL中使用Kerberos服务时,也需要使用到GSS-API来与Kerberos之间进行安全信息交换。

5. Kerberos

回忆一下之前一篇文章<图解Kerberos协议原理>中讲到的Kerberos认证与授权的几个关键步骤:

  1. [Login] 用户输入用户名/密码信息进行登录。
  2. [Client/AS] Client到AS进行认证,获取TGT。
  3. [Client/TGS] Client基于TGT以及Client/TGS Session Key去TGS去获取Service Ticket(Client-To-Server Ticket)。
  4. [Client/Server] Client基于 Client-To-Server Ticket以及Client/Server SessionKey去Server端请求建立连接,该过程Client/Server可相互进行认证。
  5. [Client/Server] 连接建立之后,Client可正常往Server端发送服务请求。

具体步骤说明:

  • 第1步,在Client端完成对密码信息的单向加密。
  • 第2步,基于JAAS进行认证。
  • 第3,4步,则基于GSS-API进行交互。
  • 第4,5步建立连接与发送服务请求的过程,则通常基于SASL框架。

6. 总结

本文主要介绍了在一个分布式系统中引入Kerberos认证时所涉及到的框架技术,简要总结如下:

  • JAAS 认证与授权服务框架与接口定义
  • GSS-API 跨应用程序之间的安全信息交换,如Kerberos授权时ClientTGS/SS之间的信息交换。
  • SASL 主要应用于跨节点通信时的认证与数据加密。
L.ZZ
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
gss java_JAVA GSSAPI 实现主要类介绍
weixin_42366200的博客
02-12 744
阅读:383包org.ietf.jgss介绍该JAVA Package提供了一个标准的框架,允许应用程序开发人员使用统一的API从各种底层安全机制(如Kerberos)中利用安全服务,如身份验证,数据完整性和数据机密性。应用程序可以通过唯一的对象标识符标识(object identifier)来选择使用的安全机制,如Kerberos v5 GSS-API机制的对象标识符为1.2.840.11355...
Kafka安全认证:SASL/GSSAPI (kerberos)
foureyes
05-01 6098
文章目录kafka和zookeeper开启kerberos认证1. 环境2. 创建主体并生成keytab3. 配置jaas.conf4. 配置kafka server.properties5. 配置kafka zookeeper.properties6. kafka broker+zookeeper启动脚本7. kafka client的使用7.1 producer7.2 consumer kaf...
kerberos入坑指南
mark's technic world
03-14 1585
原理介绍 kerberos主要是用来做网络通信时候的身份认证,最主要的特点就是“复杂”。所以在入坑kerberos之前,最好先熟悉一下其原理。这里推荐一些别人写的文章内容来进行简单汇总: 链接kerberos认证原理用对话场景来解释kerbeors的设计过程 简图 kerberos认证流程简图 几个概念的补充 principal 认证的主体,简单来说就...
Kerberos从入门到精通以及案例实操系列(二)
prefect_start的博客
06-05 1100
所以在安全的Hadoop环境下,Kylin不需要做额外的配置,只需要具备一个Kerberos主体,进行常规的认证即可。若Presto对接的是Hive数据源,由于其需要访问Hive的元数据和HDFS上的数据文件,故也需要对Hive Connector进行Kerberos认证。启用Kerberos认证之后,关闭HBase时,需先进行Kerberos用户认证,认证的主体为hbase。但是Kylin所依赖的HBase需要进行额外的配置,才能在安全的Hadoop环境下正常工作。以下说明均基于普通用户。
GSS-API GSSAPI 介绍 通用的安全机制
whatday的专栏
02-21 8472
通用安全服务应用程序接口(GSSAPI) 是为了让程序能够访问安全服务的一个应用程序接口。 使用 GSS-API,程序员在编写应用程序时,可以应用通用的安全机制。开发者不必针对任何特定的平台、安全机制、保护类型或传输协议来定制安全实现。使用 GSS-API,程序员可忽略保护网络数据方面的细节。使用 GSS-API 编写的程序在网络安全方面具有更高的可移植性。这种可移植性是通用安全服务 API 的...
大数据安全-kerberos技术-zookeeper安装包
06-06
更新ZooKeeper配置文件以启用Kerberos认证,如添加`authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider`和`java.security.auth.login.config=/path/to/zookeeper_jaas.conf`。 5. **...
kerberos-gss-helloworld
09-05
通过分析这些文件,我们可以学习到如何在Java环境中设置和使用Kerberos进行安全通信,包括配置JAAS、创建客户端和服务端的认证流程、以及如何利用GSS API进行安全令牌的交换。这将对理解和实施基于Kerberos的身份...
jaas-auth-rest-example:使用JAAS进行身份验证的基于CXF的REST服务的简单示例
05-10
# install cxf feature:install -v cxf-jaxrs # install the bundle install -s mvn:com.fleurida.jaas/jaas-auth-rest-example/1.0.0-SNAPSHOT 简单测试访问JAAS安全上下文的代码,该代码显示基础安全上下文不包含...
JAAS.rar_Kerberos_jaas_ldap kerberos
09-14
Java Authentication Authorization Service(JAASJava验证和授权API)提供了灵活和可伸缩的机制来保证客户端或服务器端的Java程序。Java早期的安全框架强调的是通过验证代码的来源和作者,保护用户避免受到下载...
activemq-jaas-5.5.1-javadoc.jar
07-18
标签:activemq-jaas-5.5.1-javadoc.jar,activemq,jaas,5.5.1,javadoc,jar包下载,依赖包
集成 OpenLDAP 与 Kerberos 实现统一认证 (3):基于 SASL/GSSAPI 深度集成
Laurence的技术博客
06-07 2547
本文首发于 InfoQ,写作本系列文章的背景是我们要在大数据平台/企业数据湖场景下给出中心化的用户身份认证方案。此前,我们实现过Windows AD + Kerberos的集成方案,由于Windows AD是LDAP和Kerberos的双重实现,这种天然优势使得Windows AD可以实现真正意义上的(大数据集群的)Kerberos账号与企业用户账号的统一管理。当我们想在OpenLDAP + Kerberos上实现同样的目标时,发现这一领域的知识与方案琐碎而凌乱,缺少统一连贯,脉络清晰的讲解
Hadoop安全基于KerberosSASL详解续
gezooo的专栏
05-08 954
工作上由于需要给hive的metastore做逻辑元数据以及支持水平扩展,在waggle-dance的基础上增强了kerberos的功能,上线之后发现运行一天之后,请求失败,报GssException no tgt. waggle-dance在启动的时候,我调用过了 UserGroupInformation.loginFromKeyTab() 方法, 登录之后,会生成一个全局的loginUser, 后面所有调用UserGroupInformation的地方都会获取到登录过的用户。 登录成功之后,log
Kafka 认证三:添加 Kerberos 认证详细流程
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
11-18 5855
上一章节介绍了 Kerberos 服务端和客户端的部署过程,本章节继续介绍 Kafka 添加 Kerberos 认证的部署流程,及 Java API 操作的注意事项。
GSSAPI(Generic Security Services Application Programming Interface)说明
最新发布
多头注意力探索Now
06-20 570
通信安全认证技术
数字证书、ssl、sasl(GSSAPIKerberos)、jaas简单解释
码农崛起
01-22 2497
数字证书: 由CA(大家都信赖的第三方机构)派发,内容包括: (1).Common Name(证书所有人姓名,简称CN,其实就是证书的名字)    (2).Version(版本,现在一般是V3了)    (3).Issuer(发证机关)    (4).Validity(有效日期)    (5).Subject(证书信息,你会发现它和Issuer里面的内容是一样的)    (6).Subject's Public Key Info(证书所有人的公钥)    (7).Extensio...
认证模式之Spnego模式
zhangxiping
01-19 1933
Spnego模式是一种由微软提出的使用GSS-API接口的认证模式。它扩展了Kerberos协议,在了解Spnego协议之前必须先了解Kerberos协议,Kerberos协议主要解决身份认证及通信密钥协商问题。它大致的工作流程例如以下: ①client依据自己username向密钥分发中心KDC的身份认证服务AS请求TGS票证。 ②AS生成一个TGS票证、查询相应用户的password,然后通过用户password将TGS票证加密,响应给client。 ③client通过用户password解密TGS票
Windows下配置浏览器使用Kerberos (SPNEGO)
taisenki的博客
06-22 1万+
Windows下配置浏览器使用Kerberos (SPNEGO) Windows下配置浏览器使用Kerberos (SPNEGO) 适用场景 Windows GSSAPI/KERBEROS环境配置 安装MIT KERBEROS 配置kerberos环境 配置JCE 配置Firefox 后谈 小结 参考链接: 适用场景 本示例适用场景满足以下情况: 1. 访问开启k...
JAASJava GSS-API
be Free & Happy
02-25 375
做spring security kerberos时候底层使用了JAASJava GSS-API,记录下学习文档。 JASS全称为Java Authentication and Authorization Service,Java GSS-API全称为Java Generic Security Services ; JDK官方文档本地版路径: Home: Java Platform, Standard Edition (Java SE) 8 Release 8 file:///F:/docs/te
kafka使用SASL认证
热门推荐
挖矿的小强的博客
12-03 2万+
1. JAAS配置 Kafka使用Java认证和授权服务(JAAS)进行SASL配置。 为broker配置JAAS KafkaServer是每个KafkaServer/Broker使用JAAS文件中的部分名称。本节为broker提供了SASL配置选项,包括进行broker之间通信所需的任何SASL客户端连接。 客户端部分用于验证与zookeeper的SASL连接。它还允许broke...
public static void main(String[] args) throws Exception { StreamExecutionEnvironment env = StreamExecutionEnvironment.getExecutionEnvironment(); env.setParallelism(1); System.setProperty("java.security.krb5.conf", "D:/project/lab-project/src/main/resources/kerberos/dev/krb5.conf"); System.setProperty("javax.security.auth.useSubjectCredsOnly", "false"); System.setProperty("java.security.auth.login.config", "D:/project/lab-project/src/main/resources/kerberos/dev/jaas.conf"); Configuration conf = new Configuration(); conf.set("hadoop.security.authentication", "kerberos"); try { UserGroupInformation.loginUserFromKeytab("c.dev.hdfs", "D:/project/lab-project/src/main/resources/kerberos/dev/ic.dev.hdfs.keytab"); System.out.println("鉴权ok"); UserGroupInformation.getCurrentUser().doAs(new PrivilegedAction<Object>() { @Override public Object run() { FlinkKafkaConsumer<String> consumer = new FlinkKafkaConsumer<>("connect-configs", new StringSchema(), getKafkaProperties()); consumer.setStartFromEarliest(); env.addSource(consumer).print(); try { env.execute("flink kafka test"); } catch (Exception e) { throw new RuntimeException(e); } return null; } }); } catch (IOException e) { System.out.println("连接异常"); throw new RuntimeException(e); } }
06-01
这段代码看起来是一个 Flink 程序,用于从 Kafka 消费数据。代码中涉及到了 Kerberos 认证,包括设置 Kerberos 配置、登录用户,以及设置 Jaas 配置等。在代码中,使用了 UserGroupInformation 类的 loginUserFromKeytab 方法来登录 Kerberos,并使用 doAs 方法来运行 Flink 应用程序。在 Flink 应用程序中,使用 FlinkKafkaConsumer 类来从 Kafka 中消费数据,并打印输出,最后通过 env.execute 方法来执行 Flink 应用程序。 需要注意的是,代码中的一些路径和配置信息需要根据实际情况进行修改,比如 krb5.conf 和 jaas.conf 的路径,以及 Kerberos principal 和 keytab 的路径等。同时,这段代码中的 Kerberos 认证需要与 Kafka 集群中的 Kerberos 认证设置相匹配,否则可能会导致认证失败。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值