Kerberos原理和工作机制

最新推荐文章于 2024-04-26 17:27:46 发布
最新推荐文章于 2024-04-26 17:27:46 发布
阅读量1.7w 收藏 31
点赞数 4
分类专栏: kerberos 文章标签: kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lovebomei/article/details/80004277
版权

1.Kerberos原理和工作机制
概述:Kerberos的工作围绕着票据展开,票据类似于人的驾驶证,驾驶证标识了人的信息,以及其可以驾驶的车辆等级。
1.1 客户机初始验证
这里写图片描述
1.2获取对服务的访问
这里写图片描述
2.kerberos中的几个概念
2.1 KDC:密钥分发中心,负责管理发放票据,记录授权。
2.2 域:kerberos管理领域的标识。
2.3 principal:当每添加一个用户或服务的时候都需要向kdc添加一条principal,principl的形式为 主名称/实例名@领域名。
2.4 主名称:主名称可以是用户名或服务名,还可以是单词host,表示是用于提供各种网络服务(如ftp,rcp,rlogin)的主体。
2.5 实例名:实例名简单理解为主机名。
2.6 领域:Kerberos的域。
3.Kerberos 安装和配置
3.1 kerberos安装
KDC服务器:yum install -y krb5-server krb5-lib krb5-workstation
客户机(hadoop集群中所有服务器):yum install -y krb5-libs krb5-workstation krb5-appl-clients
(安装前应先配置yum)
3.2 kerberos配置
KDC服务器配置:
vi /etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = HADOOP.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 2000d
renew_lifetime = 2000d
max_life = 2000d
forwardable = true

[realms]
HADOOP.COM = {
kdc = KDC服务器主机名
admin_server = KDC服务器主机名
}

[domain_realm]
.example.com = HADOOP.COM
example.com = HADOOP.COM

vi /var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88

[realms]
HADOOP.COM= {
acl_file = /var/kerberos/krb5kdc/kadm5.acl
dict_file = /usr/share/dict/words
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
max_renewable_life=10d
supported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
}
注:supported_enctypes为java的加密方式
vi /var/kerberos/krb5kdc/kadm5.acl
/admin@HADOOP.COM

客户机配置:
只需要将服务器的/etc/krb5.conf分发即可
3.3 添加principal
创建KDC的principal库
root用户下直接执行此语句:kdb5_util create -r HADOOP.COM -s
创建完成时会提示键入密码,输入即可创建完成
注:创建完成后会在/var/kerberos/krb5kdc生成如下文件

这里写图片描述
若想重新创建删除这四个文件即可

添加principal
Hadoop的kerberos认证需要添加三种principal:host,HTTP,用户(此处配置hadoop)
[root@hddn001 hadoop]# kadmin.local
Authenticating as principal hadoop/admin@HADOOP.COM with password.
kadmin.local: addprinc -randkey hadoop/cdh1@HADOOP.COM
kadmin.local: addprinc -randkey host/cdh1@HADOOP.COM
kadmin.local: addprinc -randkey HTTP/cdh1@HADOOP.COM
每台主机需添加用户,host,HTTP三种认证,如果此主机已经添加了HTTP、host认证,则仅添加用户认证即可。
其他主机自行添加,访问集群的所有机器。
使用listprincs查看一下结果
这里写图片描述
删除principle:
Kadmin.local:delprinc debugo/admin@CTBJ.COM

3.4创建Keytab文件
kadmin.local: ktadd -norandkey -k /root/hadoop.keytab hadoop/cdh1@HADOOP.COM
kadmin.local: ktadd -norandkey -k /root/hadoop.keytab hadoop/cdh2@@HADOOP.COM
kadmin.local: ktadd -norandkey -k /root/hadoop.keytab hadoop/cdh3@@HADOOP.COM
其他principal自行添加,执行完成之后会在指定文件/root/hadoop.keytab生成keytab信息。

使用klist查看keytab内容
这里写图片描述
3.5分发keytab文件
分发keytab文件到其他服务器,建议保存位置保持一致方便管理。
Scp hadoop.keytab 主机名:/home/hadoop/hadoop.keytab
注:将其赋给hadoop用户 chown hadoop:hadoop hadoop.keytab
3.6 kerberos服务启动
service krb5kdc start
chkconfig krb5kdc on
service kadmin start
chkconfig kadmin on
查看日志是否启动成功:/var/log/krb5kdc.log
/var/log/kadmin.log
3.7 客户机获取票据

   kinit -kt /opt/beh/data/keytab/hadoop.keytab hadoop/主机名@HADOOP.COM

获取完成后会在/tmp/目录下生成一个krb5xx的文件
可用查看票据情况klist/klist -e
这里写图片描述
至此,kerberos的搭建已经完成,可以开始hadoop集群的安装工作
4.hadoop和kerberos集成
a. zookeeper配置
Hadoop和kerberos集成需要zk同时启用kerberos认证
zookeeper 配置文件
修改zoo.cfg 文件,添加下面内容:

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
jaasLoginRenew=3600000

创建 /conf/jaas.conf 配置文件

Server {
  com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=true
  keyTab="path to keytab "
  storeKey=true
  useTicketCache=false
  principal="自行修改";
};

创建 /conf/java.env配置文件

export JVMFLAGS="-Djava.security.auth.login.config=“$ZOOKEEPER_HOME/conf/jaas.conf"

b.hadoop配置文件
1.core-site.xml

<property>  
    <name>fs.defaultFS</name>  
    <value>hdfs://cluster1</value>  
</property>  
<property>  
    <name>hadoop.tmp.dir</name>  
    <value>/opt/beh/data/tmp</value>  
</property>  
<property>  
    <name>ha.zookeeper.quorum</name>  
    <value>cdh1:2181,cdh2:2181,cdh3:2181</value>  
</property> 
<!--tianjia-->
<property>
    <name>hadoop.security.authentication</name>
    <value>kerberos</value>
</property>
<property>
    <name>hadoop.security.authorization</name>
    <value>true</value>
</property>

2.hdfs-site.xml

<property>  
    <name>dfs.replication</name>  
    <value>2</value>  
</property>  
<property>  
    <name>dfs.permissions</name>  
    <value>false</value>  
</property>  
<property>  
    <name>dfs.permissions.enabled
最低0.47元/天 解锁文章
波波happy
关注
  • 4
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网安全-Kerberos协议&黄金白银
m0_50572593的博客
05-17 649
内网安全&权限维持&黄金票据&白银票据&Kerberos协议 白银票据总结 只能访问文件(比较局限)1、伪造的ST,只能访问指定的服务,如CIFS;2、不与KDC交互,直接访问Server;3、ST由服务账号 NTLM Hash 加密。
Kerberos认证原理与环境部署
匠人精神,持之以恒!
06-04 3851
官网:https://www.kerberos.org/ 官方文档:http://web.mit.edu/kerberos/krb5-current/doc/Kerberos中有以下一些概念需要了解:用户principal的形式:其中Instance是可选 的,通常用于更好地限定用户的类型。比如,一个管理员用户通常会有admin instance,即。下面是指代用户的 一些principal的例子: 2)服务principal 用户principal的形式:下面是指代服务principal的例子: 三、Ke
hive配置Kerbros安全认证_hive kereveros(2)
最新发布
2401_84264610的博客
04-26 1101
Client:需要访问服务的用户(principal),KDC和Service会对用户的身份进行认证。Service:集成了Kerberos的服务,如HDFS/YARN/HBase等。principal:当每添加一个用户或服务的时候都需要向kdc添加一条principal,principl的形式为 主名称/实例名@领域名。TGT : 票证授予票证。SGT : 服务授予票证。或者使用下面这个:客户机在hadoop的从节点上安装即可。在安装的kerbros服务端上修改即可。​。
Kerberos简介与认证说明
huangzhigao886的博客
02-26 564
Kerberos的认证过程: principal(安全个体):被认证的个体,有一个名字和口令,每个server都对应一个principal,其格式如下,@前面部分为具体身份,后面的部分称为REALM component1 / component2 @ REALM (ossuser/cluster-node-3@HADOOP.COM) KDC(key distribution center ) : 是一个网络服务,提供ticket 和临时会话密钥。 Ticket:一个记录,客户用它来向服务器证明自己的身份
【Hadoop】通俗易懂 Kerberos原理
康师傅没有眼泪
05-26 5586
Hadoop 使用Kerberos作为用户和服务的强身份验证和身份传播的基础。Kerberos 是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。Kerberos 是第三方认证机制,其中用户和服务依赖于第三方(Kerberos 服务器)来对彼此进行身份验证。Kerberos服务器本身称为密钥分发中心或 KDC。
kerberos原理图文说明
weixin_34362790的博客
11-28 159
链接:https://blog.csdn.net/wangyangzhizhou/article/details/51163782 1. kerberos通信 ①客户端根据自己用户名向密钥分发中心KDC的身份认证服务AS请求TGS票证。 ②AS生成一个TGS票证、查询对应用户的密码,然后通过用户密码将TGS票证加密,响应给客户端。 ③客户端通过用户密码解密TGS票证,如果密码正确就能获取到TGS...
kerberos入坑指南
mark's technic world
03-14 1586
原理介绍 kerberos主要是用来做网络通信时候的身份认证,最主要的特点就是“复杂”。所以在入坑kerberos之前,最好先熟悉一下其原理。这里推荐一些别人写的文章内容来进行简单汇总: 链接kerberos认证原理用对话场景来解释kerbeors的设计过程 简图 kerberos认证流程简图 几个概念的补充 principal 认证的主体,简单来说就...
Kerberos原理
07-04
总的来说,Kerberos协议通过复杂的密钥交换和票据机制,为网络环境提供了安全的身份验证解决方案,有效防止了冒名顶替的攻击。在企业级网络和分布式系统中,Kerberos是一种广泛采用的认证协议。
Kerberos安全框架原理.pdf
10-14
通过学习Kerberos和Ldap,您可以了解其工作原理,掌握如何在FusionInsight环境中管理和维护这两个组件,以保障集群的安全性和稳定性。熟悉这些知识点对于理解和操作分布式大数据平台的安全性至关重要。
kerberos原理及应用
06-22
Kerberos是一种网络认证协议,由MIT计算机实验室在1980年代开发,用于为客户端/服务器应用程序提供强大的身份验证服务。它不依赖主机操作系统认证,...理解Kerberos工作机制对于管理和维护复杂网络的安全性至关重要。
kerberos安全认证
12-29
通过学习和理解Kerberos工作原理和配置,我们可以更好地保护数据和资源,防止未经授权的访问。这个压缩包文件中的内容可能包含了这些组件的Kerberos配置示例和开发文档,对于理解和实施Kerberos安全认证非常有价值...
Kerberos原理
11-15
Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”系统设计上采用客户端/服务器结构与DES加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止replay攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。文件详细介绍了kerberos原理
Kerberos.zip
03-11
在本文中,我们将深入探讨Kerberos工作原理,并结合C语言,讲解如何实现这一认证机制。 一、Kerberos的基本概念 1. **会话密钥**:Kerberos的核心在于会话密钥的交换。它是由KDC生成并分发的,用于加密用户和...
Kerberos身份验证流程
pengjunlee的博客
05-21 2721
介绍: Kerberos 是一种由 MIT(麻省理工大学)提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。 在 Kerberos 认证中,最主要的问题是如何证明「你是你」的问题,如当一个 Client 去访问 Server 服务器上的某服务时,Server 如何判断 Client 是否有权限来访问自己主机上的服务,同时保证在这个过程中的通讯内容即使被拦截或篡改也不影响通讯的安全性,这正是 Kerberos 解决的问题。在域渗透过程中 Kerberos 协议的
Kerberos体系的运作过程
Duncelhy的博客
07-08 417
Kerberos的定义 Kerberos是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。其认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络傻瓜所有主机的物理安全,并假定网络上传送的数据包可以被任意的读取、修改和插入数据。在以上情况下Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。 协议的安全主要依赖于参与者对世界的松散同步和短周期的叫做Kerberos票据的认证声明。下面是对于这个协议
循序渐进了解Kerberos认证工作原理
weixin_33973600的博客
10-16 362
循序渐进了解Kerberos协议的工作过程本文是我在看了这篇英文说明之后的自我总结,还没有写完。。。https://technet.microsoft.com/zh-cn/library/cc961976.aspx是总结,不是翻译,所以是我看后按自己的理解写的,如有问题,请指正!Kerberos这个单词是古希腊神话中一只有三个头的狗,这条狗守护在地狱之门外,防止活人闯入。Ke...
Hadoop安全保护机制Kerberos&LADP)详解
Pizza_great的博客
10-26 4412
第一章 信息安全理论基础 CIA模型:机密性、完整性和可用性 CIA模型能够帮助建议一些信息安全原则,但该模型并不是一个需要严格遵守的规划 Hadoop平台可能涉及多个CIA模型组件,也有可能一个也涉及不到 1.1、机密性 机密性:信息只应该被期望的接收者看到 身份标识:使A和B参与机密信息传递的属于自己的唯一标志 身份验证:证明自己的身份 加密:将数学算法应用于信息片段,使加密后输出内容对于非预期接收者不可读 解密:只有期望的接收者能对加密消息进行解密,从而得到原始信息 ...
Kerberos原理和使用
热门推荐
交换一个思想,能得到俩思想
06-25 1万+
Kerberos原理Kerberos 服务是单点登录系统,这意味着您对于每个会话只需向服务进行一次自我验证,即可自动保护该会话过程中所有后续事务的安全。服务对您进行验证后,即无需在每次使用基于 Kerberos 的服务时进行验证。因此,无需在每次使用这些服务时都在网络上发送口令(增强了安全性)。MIT写了一段故事型的对话,比较生动得表述了Kerberos协议的工作原理:Athena和欧里庇得斯关于
Kerberos认证
07-28
Kerberos是一种网络认证协议,用于验证用户和服务之间的身份。它提供了一种安全的身份验证机制,用于在客户端和服务器之间进行安全通信。 Kerberos工作原理是基于密钥分发中心(Key Distribution Center,KDC)。KDC由三个组件组成:认证服务器(Authentication Server,AS)、票据授权服务器(Ticket Granting Server,TGS)和数据库(Database)。 当用户想要访问某个服务时,首先需要向AS发送身份验证请求。AS会验证用户的身份,并返回一个票据(Ticket),该票据包含了用户的身份信息和一个会话密钥。 然后,用户使用该票据向TGS请求访问某个服务的票据。TGS会验证用户的身份,并使用TGS密钥解密票据,然后生成一个服务票据(Service Ticket)。该服务票据包含了用户的身份信息和一个用于与目标服务进行通信的会话密钥。 最后,用户使用服务票据向目标服务发送请求。目标服务会使用会话密钥验证用户的身份,并为用户提供所需的服务。 Kerberos通过使用加密的票据和会话密钥来确保身份验证和通信的安全性。它是一个广泛应用于计算机网络中的认证协议,特别适用于大型企业网络环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值