Kerberos身份验证原理和登录数据库的实例

最新推荐文章于 2024-11-13 22:17:16 发布
最新推荐文章于 2024-11-13 22:17:16 发布
阅读量967 收藏 10
点赞数 20
文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lunan/article/details/142828830
版权

Kerberos 是一种网络身份验证协议,基于可信第三方(Key Distribution Center,KDC)来为客户端和服务器提供安全的身份验证。它广泛应用于数据库登录和各种安全服务场景,例如 PostgreSQL、MySQL 等数据库也支持 Kerberos 认证。

Kerberos 身份验证的工作原理

  1. 用户登录并请求服务:客户端首先向认证服务器(Authentication Server, AS)请求一个 “票据”(Ticket Granting Ticket, TGT),该请求包含用户的身份信息。

  2. 认证服务器验证并颁发票据:AS 验证用户的身份(通常基于密码),然后颁发一个加密的 TGT,用户保存这个 TGT 以便后续访问其他服务。

  3. 客户端请求服务票据:当客户端需要访问特定服务(如数据库)时,客户端将 TGT 发送给票据颁发服务器(Ticket Granting Server, TGS)以请求访问该服务的票据。

  4. TGS 验证并颁发服务票据:TGS 验证 TGT 的有效性后,颁发特定服务的票据给客户端。

  5. 客户端使用服务票据连接数据库:客户端将该票据发送给数据库服务器,数据库验证该票据的真实性并允许访问。

整个过程通过加密保证通信的安全性,且 Kerberos 系统采用对称加密,大大提高了网络身份验证的安全性。

使用 Python3 和 Kerberos 登录数据库的例子

Python 通过 python-gssapi 库和 Kerberos 实现与服务端的安全认证。首先,确保安装了 gssapi 模块,以及数据库的 Kerberos 配置。

先决条件:

  1. Kerberos 配置:确保客户端和数据库服务器都已正确配置了 Kerberos,并且数据库支持 Kerberos 身份验证。

  2. 安装依赖库

    pip install gssapi psycopg2

    此示例假设你在 PostgreSQL 数据库中使用 Kerberos 身份验证。

数据库登录代码示例(使用 Kerberos 进行 PostgreSQL 登录)
import psycopg2
import gssapi
import os

# 设置 Kerberos 环境变量
os.environ['KRB5_CONFIG'] = '/etc/krb5.conf'  # Kerberos 配置文件
os.environ['KRB5CCNAME'] = '/tmp/krb5cc_1000' # Kerberos 票据缓存路径,确保用户已经通过 kinit 认证

def connect_with_kerberos():
    try:
        # 创建 Kerberos 认证上下文
        credentials = gssapi.Credentials(usage='initiate')
        context = gssapi.SecurityContext(name=gssapi.Name('postgres@YOUR_DB_SERVER'), creds=credentials)
        
        # 使用 Kerberos 凭证建立数据库连接
        conn = psycopg2.connect(
            host='YOUR_DB_SERVER',
            database='YOUR_DB_NAME',
            user='YOUR_USERNAME',
            sslmode='require',
            krbsrvname='postgres'  # PostgreSQL 的 Kerberos 服务名
        )
        print("成功连接到数据库")
        return conn
    except Exception as e:
        print(f"连接数据库失败: {e}")
        return None

def main():
    conn = connect_with_kerberos()
    if conn:
        cursor = conn.cursor()
        cursor.execute("SELECT version();")
        db_version = cursor.fetchone()
        print(f"数据库版本: {db_version[0]}")
        cursor.close()
        conn.close()

if __name__ == "__main__":
    main()

代码说明

  1. Kerberos 配置

    • os.environ['KRB5_CONFIG']: 指定 Kerberos 配置文件的位置,确保 Kerberos 客户端已正确配置。
    • os.environ['KRB5CCNAME']: 票据缓存文件路径,确保客户端已经通过 kinit 命令获取了 TGT。

  2. Kerberos 认证上下文

    • gssapi.Credentials: 获取 Kerberos 凭证,用于身份验证。
    • gssapi.SecurityContext: 创建与数据库的安全上下文,确保客户端与数据库之间的安全通信。

  3. 数据库连接

    • 使用 psycopg2 库与 PostgreSQL 数据库进行连接,其中参数 krbsrvname 是 PostgreSQL 默认的 Kerberos 服务名,sslmode 确保通信加密。

Kerberos 环境设置步骤

  1. Kerberos 安装与配置

    • 在服务器和客户端上安装 Kerberos 并进行相应的配置(包括 /etc/krb5.conf 文件)。
    • 设置数据库的 pg_hba.conf 文件,以支持 Kerberos 身份验证:
      host    all             all             0.0.0.0/0               gss

  2. 获取 Kerberos 票据
    在客户端运行 kinit 命令,以获取 Kerberos TGT:

    kinit username@YOUR_REALM

    成功后,Kerberos 票据会存储在缓存中,供后续认证使用。

总结

基于 Kerberos 的身份验证通过引入中央认证服务器,提高了数据库登录的安全性,避免了明文传递凭据,并通过票据系统防止重放攻击。Python 可以通过 gssapi 库结合数据库库(如 psycopg2)实现与数据库的安全连接。

产品简介

  • 梧桐数据库(WuTongDB)是基于 Apache HAWQ 打造的一款分布式 OLAP 数据库。产品通过存算分离架构提供高可用、高可靠、高扩展能力,实现了向量化计算引擎提供极速数据分析能力,通过多异构存储关联查询实现湖仓融合能力,可以帮助企业用户轻松构建核心数仓和湖仓一体数据平台。
  • 2023年6月,梧桐数据库(WuTongDB)产品通过信通院可信数据库分布式分析型数据库基础能力测评,在基础能力、运维能力、兼容性、安全性、高可用、高扩展方面获得认可。

点击访问:
梧桐数据库(WuTongDB)相关文章
梧桐数据库(WuTongDB)产品宣传材料
梧桐数据库(WuTongDB)百科

鲁鲁517
关注
Kerberos原理与代码实例讲解
AI天才研究院
06-05 693
Kerberos原理与代码实例讲解 1.背景介绍 在分布式系统中,确保通信安全是一个关键挑战。Kerberos是一种网络认证协议,旨在通过使用强密钥密码学为客户机/服务器应用程序提供相互认证。Kerberos最初由麻省理工学院(MIT)在20世纪80年代中期设计,目的是保护网络服务免受未经
kerberos mysql配置_管理 Kerberos 数据库
weixin_39566864的博客
02-01 472
管理 Kerberos 数据库Kerberos 数据库Kerberos 的主干,必须正确维护。本节介绍有关如何管理 Kerberos 数据库的一些过程,例如备份和恢复数据库、设置增量或并行传播以及管理存储文件。如何手动配置主 KDC 服务器中介绍了该数据库的初始设置步骤。备份和传播 Kerberos 数据库Kerberos 数据库从主 KDC 服务器传播到从 KDC 服务器是最重要的配置任...
使用Kerberos的单点登录
潮易碎碎念
10-16 372
在Web应用中,我们可以使用它来保护用户的session信息,防止session劫持攻击。在移动设备上,我们可以在用户登录时使用Kerberos来进行认证,确保用户只能访问他们有权限的资源。然后,我们使用Kerberos进行认证。如果认证成功,我们就将用户的用户名存储在session中。Kerberos是一种广泛使用的安全协议,用于管理网络资源的访问控制。然后,你需要创建一个keytab文件,这是Kerberos服务器的凭证。这个测试用例中,我们使用了正确的密码来认证。# 使用Kerberos进行认证。
Keberos单点登录服务及其实现过程
热门推荐
weixin_43520214的博客
03-23 1万+
Part 1: Keberos 介绍 在计算机科学领域,Kerberos 是麻省理工学院Athena 项目的一部分。它之所以被命名为 Kerberos,是因为它涉及三个实体,很像三头狗,它们通过通信来确定客户端和服务器的身份。称为密钥分发中心(简称 KDC)的受信任第三方可帮助客户端和服务相互证明其身份。它是一个网络认证系统,解决了不可信网络中的两个重要问题: 它允许用户仅使用一个密码访问所有资源(例如打印机、服务)。 它加密通过网络传递的消息并确保消息的完整性。我们将在接下来的课程中..
安全认证Kerberos详解
Shawn的个人博客
04-16 5867
Kerberos是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。
kerberos体系 单点登录
PK_666的博客
03-11 952
一、单点登录 单点登录是安全凭证在多个应用系统之间的传递或共享,一次认证就可以访问其授权的所有网络资源。 二、kerberos 密钥分配中心(KDC) 三个阶段:获得票据许可票据、获得服务许可票据、获得服务。 ...
hdfs客户端实例kerberos+simple)
tian的博客
07-04 6026
1.非安全模式 在非安全模式下,访问hdfs文件系统的客户端代码如下: package ntci.hadoop.hdfs.test; import org.apache.hadoop.classification.InterfaceAudience; import org.apache.hadoop.conf.Configuration; import org.apache.hadoop...
Oracle数据库连接身份验证机制:理解不同身份验证机制,保障数据库安全
![Oracle数据库连接身份验证机制:理解不同身份验证机制...Oracle数据库支持多种身份验证机制,包括密码身份验证、操作系统身份验证Kerberos身份验证。这些机制各有优缺点,适用于不同的场景。本章将概述Oracle数据库
Mongodb常用的身份验证方式
09-09
MongoDB是一种流行的开源文档数据库,提供了多种安全措施,包括身份验证,以确保只有授权的用户才能访问和操作数据。在本文中,我们将深入探讨MongoDB常用的身份验证方式,以及如何启用、管理用户权限。 1. **开启...
Kerberos安全认证原理
weixin_38569499的博客
04-07 2086
目录 1、Kerberos是什么 2、主要角色 3、基本概念 4、认证过程 4.1 初始验证 4.2获取服务票据 4.3服务验证 5、环境假设 6、局限性 7、相关命令 参考文档: 协议:协议 主要命令:主要命令 1、Kerberos是什么 Kerberos是一种一种网络身份验证协议,只包括验证环节,不负责授权。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。 用户只需输入一次身份验证信息,就可凭借此验证获得的票据授予票据(ticke...
kerberos无密码登录
SunWuKong_Hadoop的博客
11-07 3476
用到的命令如下: 1、ktutil 2、add_entry -password -p hadoop/admin@psy.com -k 3 -e aes256-cts-hmac-sha1-96 解释:-k 指编号 -e指加密方式 -password 指使用密码的方式 例子: add_entry -password -p host/admin@psy.com -k 1 -e aes256-cts-...
kerberos
哇哈哈
10-29 3620
https://www.cnblogs.com/artech/archive/2007/07/05/807492.html https://www.cnblogs.com/-qing-/p/11349134.html https://ieevee.com/tech/2016/06/07/kerberos-1.html https://blog.csdn.net/czz1141979570/arti...
Kerberos常用操作
TT-Learning
10-29 6108
文章目录登录Kerberos: kadmin.local查看已存在凭据:list_principals, listprincs, get_principals, getprincs添加凭据:add_principal, addprinc, ank修改凭据密码:change_password, cpw删除凭据:delete_principal, delprinc认证用户:kinit查看当前认证用户:...
Kerberos配置SSH免密登录
aryoyo的博客
06-07 4952
环境:KDC server:hostname: yaya.example.com, ip: 192.168.0.104   ;          客户端:hostname: yaya2.example.com  ip: 192.168.0.106在KDC server上:1.安装:yum install krb5\*[root@yaya log]# rpm -qa|grep -i krb5krb5...
Kerberos单点登录实现过程
Jarod|党
02-16 1111
最近公司在做单点登录的选型,看了看Kerberos的技术实现。感觉网上Kerberos的相关资料不多,自己做了总结和大家分享,因为是在选型阶段,没做太深入的学习,学习了Kerberos的单点登录过程。 Kerberos基本原理 先转几个链接 1.关于理解Kerberos原理的经典对话,MIT的人为了帮助人们理解Kerberos原理而写的一篇对话集,google “Kerberos原理”,...
07 Oracle数据库恢复基础解析:从检查点到归档,一步步构建数据安全防线
超哥的博客
11-09 1279
检查点是Oracle数据库中的一个特殊事件,它的作用是将内存中的数据块同步到磁盘上,以确保数据的持久性。简单来说,就是让数据库“记住”到目前为止所有的更改。Redo日志是Oracle用来记录所有数据更改的日志文件。每次对数据库进行修改时,都会先写入Redo日志,然后再写入数据文件。这样,即使系统崩溃,也能通过Redo日志恢复数据。当数据库运行在归档模式下时,一旦当前的Redo日志文件满,Oracle会将其复制到一个安全的存储位置,并标记为已归档。这样可以长期保留Redo日志,便于历史数据的恢复。
数据库和云服务器哪个便宜一些?
petaexpress的博客
11-12 322
云服务器的价格区间相对更广泛,因为用户可以根据实际需求选择不同配置和性能的服务器。而云数据库的价格则更多地依赖于数据库类型和规格。在相同配置下,云服务器的价格可能会略低于云数据库,但这并不是绝对的,因为两者都有不同的优惠政策和计费方式。
约束(MYSQL)
最新发布
2301_80363309的博客
11-13 157
not null(非空) unique(唯一) default(默认约束,规定值) 主键约束primary key(非空且唯一) auto_increment(自增类型) 复合主键 check(保证列中值符合指定条件) foreign key(外键约束)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值