kerberos配置
一、kerberos 简介
在Kerberos系统中至少有三个角色:认证服务器(CA),客户端(Client),服务端(Server)。客户端和服务端在与CA的交互下完成相互认证。
在Kerberos系统中,客户端和服务端都有一个唯一的名字,叫做Principal。同时,客户端和服务器都有自己的密码,并且它们的密码只有自己和认证服务器CA知道
通讯过程中,client 向 server 发送请求 :
首先 client 向 CA 发送消息。包含了 client_principal 和 server_principal 也就是 是谁 要访问 谁 。这些都是唯一标示
然后 CA 收到后,会给client 返回 消息。包含了,客户端可解密的 加密数据Encryption Client
( 这里成为EC
)
和 server可解密的
加密数据
Encryption Server
(这里成为E
S
);
其中包含了
一个随机的密码 random key 成为 RK (RK 包含在 EC 和 ES 中) ;
(此时 客户端获取到的消息都是加密的,无法进行篡改,保证的安全性;)
当 client 拿到 CA 返回的消息后,用自己的密码解密 CA 返回的 EC ,得到一个认证因子 和 randomkey ; 然后用 randomkey 对认证因子加密,把加密后的认证因子 和 ES 发送给server;
server 接到数据后,解密ES,获取到randomkey,然后用randomkey 解密 认证因子 进行验证; (认证因为包含了 时间戳等一些内容) 然后 server 可以随机发送一些 认证因子包含的部分给client进行双向认证
认证通过后,双向就用 randomkey 进行数据加密传输
如下图:
二、kerberos安装
kerberos
官网