Kerberos认证

最新推荐文章于 2022-09-13 12:32:51 发布
最新推荐文章于 2022-09-13 12:32:51 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: AD活动目录

背景:基于RFC1510,Kerberos Version 5为分布式环境和与其他系统的交互标准提供增强的认证。Kerberos来源于希腊神话three-headed dog。三头狗包含KDC(Key Distribution Center)、客户端和提供资源或服务的服务器。KDC是安装在域控制器上的,提供以下两种服务:AS(Authentication Service)和TGS(Ticket-Granting Service)。认证过程如下图所示:

认证过程:

l  AS Exchange

当初始化网络登录时,用户需要提供用户名和密码,提供给KDC进行验证。KDC访问活动目录中的用户信息。当验证成功后,用户得到一个在本地域有效的TGT(Ticket to Get Tickets)。TGT有一个默认的生命周期10小时,在用户登录会话过程中可以自动更新,无需用户再次提供用户名和密码。TGT被缓存在本地内存空间中,用来请求建立与网络服务的会话。

如果启用了预身份验证,会使用用户的密码加密时间戳(Time stamp)。如果KDC使用活动目录中用户密码的哈希值解密时间戳,得到一个有效的时间,KDC知道这不是在重复之前的请求。如果KDC通过客户端的TGT请求,会回复两个信息:使用只有KDC(TGS)能够解密的秘钥加密的TGT(Ticket to Get Tickets;使用用户密码加密的会话秘钥(session key,这个会话密钥用于客户端与KDC将来的通信。由于客户端无法读取TGT的内容,它只能将TGT提交给TGS请求服务票据(service ticket)。TGT包含生存周期,认证数据,与客户端通信的会话秘钥和客户端名称。

l  TGS Exchange

客户端向TGS发送TGT,TGS使用自己的密钥读取TGT,如果TGS通过客户端的请求,TGS为客户端和远程服务器(目标服务器)创建一个服务票据(service ticket会话秘钥(session key。客户端通过之前从AS获得的会话密钥读取服务票据(service ticket)并缓存在本地。

l  Client/ServerExchange

当客户端拥有服务票据(service ticket),它就可以建立和目标服务器服务之间的会话。目标服务器可以使用自己和KDC之间长期的密钥解密来自TGS的信息。服务票据(service ticket)被用于认证客户端用户和建立客户端与服务器之间的服务会话。在服务票据(service ticket)的生命周期过期之后,需要续订服务票据(serviceticket)。

客户端把服务票据(service ticket)中服务器部分的内容提交给服务器,请求建立客户端和服务器之间的会话。如果启用了相互认证,目标服务器返回一个使用服务票据(service ticket)会话密钥加密的时间戳。如果时间戳能够被正确解密,那么不仅客户端被服务器认证,服务器也被客户端认证。这样,目标服务器就不需要直接和KDC交互,因此也减少了离线时间和KDC的负载。

l  本地登录过程

当登录本地系统的时候,在弹出登录窗口的时候,密码被单向哈希算法立即加密,然后开始向KDC请求一个TGT和服务票据(serviceticket)。过程和访问远程服务一样。创建的访问令牌(access token)包含用户所有的安全组信息,这个访问令牌被附加到用户登录会话,然后依次被其他用户开启的进程和应用继承。

l  ReferralTickets

AS和TGS的功能是独立的,用户可以从一个域的AS请求TGT,并从另外一个域的TGS请求服务票据(service ticket)。

当两个域之间建立了信任关系,客户端可以通过referral tickets在请求另外一个域的服务时得到认证。当两个域建立信任关系之后,基于信任密码的interdomain key被用于认证KDC。示例如下:

1.        客户端使用TGT联系本地域的KDC TGS,KDC发现这是请求到另外一个域的会话,返回一个用于另外一个域KDC认证的referral ticket;

2.        客户端使用referral ticket联系远程域的KDC。Referral Ticket是被interdomain key加密的,假设成功解密,远程域的TGS返回一个service ticket。

3.        客户端开始于服务器进行信息交互,并开始与远程服务的会话。

更复杂的场景,即存在多域信任和域信任关系的传递,示例如下:

1.        使用域1的TGS获得域2 KDC的referral ticket;

2.        使用referral ticket和域2的TGS交互,获得域3的referral ticket;

3.        使用referral ticket和域3的TGS交互,获得service ticket;

4.        通过客户端和服务器交互,开启和远程服务的会话。

l  转发和代理

有一些服务需要访问第二个服务器,比如说后端的数据库服务器,为了建立和第二个服务器的会话,主服务器(第一个服务器)需要能够代表客户端的用户账号和认证等级被认证,这可以通过转发或者代理认证实现。

参考链接:

https://msdn.microsoft.com/en-us/library/bb742516.aspx

Lyu_JinBo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kerberoskerberos 认证浅析
九师兄
06-28 2294
转载并且补充:Kerberos认证浅析在希腊神话中Kerberos是守护地狱之门的一条凶猛的三头神犬,而本文介绍的Kerberos认证协议是由美国麻省理工学院(MIT)首先提出并实现的。Kerberos认证是一个三路处理过程,依赖称为密钥分发中心(KDC)的第三方服务来验证计算机相互的身份,并建立密钥以保证计算机间安全连接。本质上每台计算机分享KDC一个秘钥,而KDC有两个部件:一个Kerberos 认证服务器和一个票据授权服务器。如果KDC不知道被请求目标服务器,则会求助于另一个KDC来完成认证。它允许在
Kerberos认证系统
07-16
这个是一个Kerberos认证系统的基本代码实现,有一个客户端和3个认证服务器,加密方式是DES。用到的数据库是最基础的ACCESS数据库。所用软件是Eclipse。
网络身份认证——Kerberos配置及认证
weixin_34125592的博客
12-13 1227
教材:《信息系统安全概论》 实验目的 Windows域下kerberos的实现,对用户是否透明,尽可能多的描述细节。 学习Kerberos的安装和配置方法,掌握和了解Kerberos的工作原理和实现原理,使用Kerberos实现网络身份认证。 实验要求 1)阅读教材4.6节内容,分别说明客户机与三类服务器所需完成的任务及以及这种身份认证方式的优缺点。 2)在Kerberos服务端,查询KDC的配置...
Kerberos
weixin_33850015的博客
01-08 703
一、Kerberos Concept Kerberos是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务,为通信双方提供双向身份认证Kerberos关键术语: KDC提供两大主要功能:认证服务器(Authentication Service,AS)和票据授权服务(Ticket Granting Service,TGS)。AS负责对用户和服务进行认证,T...
kerberos 认证为什么不适用local(本地域)
GeneralLoveMoney
03-31 661
<br />'local' in this case means 'unix socket'.  Kerberos does a reverse-DNS<br />lookup on the IP address it's going to connect to in order to figure out<br />what service princ to ask the KDC for.  That doesn't work for unix<br />sockets.
Kerberos协议详解
最新发布
做自己喜欢的事,并将其发挥到极致!
09-13 1万+
Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全,Kerberos侧重于通信前双方身份的认定工作,帮助客户端以及服务端验证是真正的自己并非他人,从而使得通信两端能够完全信任对方的身份,在一个不安全的网络中完成一次安全的身份认证继而进行安全的通信。Kerberos是一种计算机网络认证协议,其设计目标是通过密钥系统为网络中通信的客户机(Client)/服务器(Server)应用程序提供严格的身份验证服务,确保通信双方身份的真实性和安全性。
flink写入带kerberos认证的kudu connector
03-24
flink写入带kerberos认证的kudu connector
kerberos认证机制
08-24
1.集群中密钥的管理、分发 2.kerberos的整个工作流程以及认证机制
Python confluent kafka客户端配置kerberos认证流程详解
01-19
其中第一种SASL/GSSAPI的认证就是kerberos认证,对于java来说有原生的支持,但是对于python来说配置稍微麻烦一些,下面说一下具体的配置过程,confluent kafka模块底层依赖于librdkafka,这是使用c编写的高性能的...
python3.6.5基于kerberos认证的hive和hdfs连接调用方式
09-16
主要介绍了python3.6.5基于kerberos认证的hive和hdfs连接调用方式,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
java实现flink订阅Kerberos认证的Kafka消息示例源码
04-16
java实现flink订阅Kerberos认证的Kafka消息源码
Kerberos 5原理解析
hoolev的专栏
03-08 1756
Kerberos 是由美国麻省理工学院提出的基于可信赖的第三方的认证系统。 Kerberos 提供了一种在开放式网络环境下进行身份认证的方法 , 它使网络上的用户可以相互证明自己的身份。 下面是自己整理的 Kerberos Version 5 的原理。先确定几个约定: KDC_REPLY = TICKET + SESSION TICKET = {client, server, star
kerberos java实现_Kerberos安全体系详解---Kerberos的简单实现
weixin_33960567的博客
02-16 2037
1. Kerberos简介1.1. 功能一个安全认证协议用tickets验证避免本地保存密码和在互联网上传输密码包含一个可信任的第三方使用对称加密客户端与服务器(非KDC)之间能够相互验证Kerberos只提供一种功能——在网络上安全的完成用户的身份验证。它并不提供授权功能或者审计功能。1.2. 概念首次请求,三次通信方the Authentication Serverthe Ticket Gr...
Kerberos认证(二)——看了都能懂得认证原理
笑里笑外~
12-22 834
文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import
Hiveserver2的代理执行之路
Hello World
02-10 1万+
hiveserver2的代理访问可以使得平台端代理任意用户执行SQL操作就像该用户自己执行的操作一样(就像一个普通用户直接使用hive CLI执行操作),本文主要探索hiveserver2是如何使用代理的方式实现支持不同用户完成SQL操作,为修改impala支持对应的操作做铺垫。
java获取kdc的tgt_Windows 服务器 2008年密钥分发中心 (KDC) 拒绝 TGS 请求 TGT 更新后...
weixin_36474966的博客
02-26 237
修补程序信息可以从 Microsoft 获得受支持的修复程序。然而,此修补程序仅用于解决本文中描述的问题。此修复程序仅适用于遇到本文中描述的问题的系统。此修补程序可能会接受进一步的测试。因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修复程序的下一个软件更新。如果此修复程序可供下载,则在此知识库文章的顶部会出现“修补程序下载可用”部分。如果未显示此部分,请与 Microsoft 客户...
Kerberos认证原理
Adolph的专栏
06-24 2402
1 Kerberos Kerberos是诞生于上个世纪90年代的计算机认证协议,被广泛应用于各大操作系统和Hadoop生态系统中。了解Kerberos认证的流程将有助于解决Hadoop集群中的安全配置过程中的问题。 1.1 Kerberos可以用来做什么 简单地说,Kerberos提供了一种单点登录(SSO)的方法。考虑这样一个场景,在一个网络中有不同的服务器,比如,打印服务器、邮件服务器和...
Kerberos 基本安装与配置
热门推荐
数据源的港湾
01-13 2万+
由于最近环境需要用到Kerberos认证,之前对Kerberos这块了解甚少,今天抽空自己手动安装一下Kerberos,以此加深对Kerberos的理解。1 选择一台机器运行KDC,安装Kerberos相关服务[root@cent-1 ~]# yum install -y krb5-server krb5-libs krb5-auth-dialog krb5-workstation [root@ce
kerberos入坑指南
mark's technic world
03-14 1574
原理介绍 kerberos主要是用来做网络通信时候的身份认证,最主要的特点就是“复杂”。所以在入坑kerberos之前,最好先熟悉一下其原理。这里推荐一些别人写的文章内容来进行简单汇总: 链接kerberos认证原理用对话场景来解释kerbeors的设计过程 简图 kerberos认证流程简图 几个概念的补充 principal 认证的主体,简单来说就...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值