Kerberos概述(一)

最新推荐文章于 2024-04-19 13:47:22 发布
最新推荐文章于 2024-04-19 13:47:22 发布
阅读量362 收藏
点赞数
分类专栏: Kerberos 文章标签: cloudera

标题配置Kerberos认证

使用强身份验证建立用户身份是Hadoop安全访问的基础。用户需要可靠地标识自己,然后在整个Hadoop集群中传播该标识以访问集群资源。
Hortonworks使用Kerberos进行身份验证。
Kerberos是用于在Hadoop集群中对用户和资源进行身份验证的行业标准。HDP还包括Ambari,它简化了Kerberos设置、配置和维护。
默认情况下,Ambari要求用户使用用户名和密码进行身份验证。无论您将其配置为使用内部数据库进行身份验证,还是与外部源(如LDAP或Active Directory)进行同步,Ambari都会使用这种身份验证机制。可选地,您可以配置Ambari通过SPNEGO(简单且受保护的GSSAPI协商机制)使用Kerberos令牌进行身份验证。

Kerberos概述

对Kerberos身份验证的高级概述,包括密钥分发中心、主体、身份验证服务器、票据授予票据和票据授予服务器。
强身份验证和建立用户身份的基础是Hadoop中的安全访问。用户需要能够可靠地“识别”
,然后在整个Hadoop集群中传播这个身份。完成此操作后,这些用户就可以访问资源(例如
作为文件或目录)或与集群交互(比如运行MapReduce任务)。Hadoop集群除了用户之外,资源本身(如主机和服务)需要相互验证,以避免潜在的恶意系统或守护进程的“冒充”可信组件的群集以获得对数据的访问。
Hadoop使用Kerberos作为强身份验证和标识的基础用户和服务的传播。
Kerberos是一种第三方身份验证机制,其中用户和服务依赖于第三方(Kerberos服务器)对每个服务进行身份验证到另一个。Kerberos服务器本身称为密钥分发中心,或KDC。
在较高的层次上,它有三部分:
•它所知道的用户和服务(称为主体)及其各自的Kerberos密码的数据库
•一个认证服务器(AS),它执行初始的认证并发出一个票据授予票据(TGT)
•票据授予服务器(TGS),它基于初始的TG签发后续的服务票据

用户主体向AS请求认证。AS返回使用用户主体的Kerberos密码加密的TGT,该密码只有用户主体和AS知道。用户主体使用其Kerberos密码在本地解密TGT,从那时起,直到票据过期,用户主体可以使用TGT从TGS获得服务票据。服务票证允许主体访问各种服务。
因为集群资源(主机或服务)不能每次都提供密码来解密TGT,所以它们使用一个称为keytab的特殊文件,该文件包含资源主体的身份验证凭据。Kerberos服务器控制的一组主机、用户和服务称为领域。

术语

术语(Term)描述
Key Distribution Center, or KDC在支持kerberos的环境中进行身份验证的受信任源。
Kerberos KDC Server充当密钥分发中心(KDC)的机器或服务器。
Kerberos Client集群中针对KDC进行身份验证的任何机器。
Principal根据KDC进行身份验证的用户或服务的唯一名称。
Keytab包含一个或多个主体及其键的文件。
RealmKerberos网络包括一个KDC和许多客户机。
KDC Admin AccountAmbari用于在KDC中创建主体和生成键选项卡的管理帐户。

Kerberos主体概述

Hadoop中的每个服务和子服务都必须有自己的主体。给定领域中的主体名由主名和实例名组成,在本例中,实例名是运行该服务的主机的FQDN。由于服务不使用密码登录以获取票据,因此其主体的身份验证凭据存储在keytab文件中,该文件从Kerberos数据库中提取,并存储在服务组件主机上与服务主体一起的本地安全目录中。

在这里插入图片描述

Principal和Keytab命名约定

资产公约例子
Principals s e r v i c e c o m p o n e n t n a m e / service_component_name/ servicecomponentname/FQDN@EXAMPLE.COMnn/c6401.ambari.apache.org@EXAMPLE.COM
Keytabs$service_component_abbreviation.service.keytab/etc/security/keytabs/nn.service.keytab

请注意在前面的示例中,每个服务主体的主名称。这些主要名称(如nn或hive)分别代 NameNode或hive服务。每个主要名称都附加了实例名,即它所运行的主机的FQDN。该约定为运行在多个主机上的服务(如datanode和nodemanager)提供唯一的主体名称。添加主机名是为了区分DataNode a的请求和DataNode b的请求。这一点很重要,原因如下:
•一个DataNode的Kerberos凭证受损不会自动导致所有DataNode的Kerberos凭证受损。
•如果多个datanode具有完全相同的主体并且同时连接到NameNode,并且发送的Kerberos验证器恰好具有相同的时间戳,那么验证将作为重放请求被拒绝。

除了Hadoop服务主体,Ambari本身也需要一组Ambari主体来执行服务“冒烟”检查、执行警报健康检查和从集群组件检索度量。Ambari主体的Keytab文件驻留在每个集群主机上,就像服务主体的Keytab文件一样。

Ambari Principals描述
Smoke and “Headless” Service usersAmbari用于执行服务“冒烟”检查和运行警报运行状况检查。
Ambari Server user当为Kerberos启用集群时,组件REST端点(如YARN ATS组件)需要SPNEGO身份验证。Ambari服务器需要访问这些api,并需要一个Kerberos主体,以便通过SPNEGO对这些api进行身份验证。
q_j_c
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kx509:基于 Kerberos 的公钥基础设施
07-06
概述这个包包括来自 与后修饰(在fnal分支)使用费米 也可以看看:安装这个包是用来自顶级目录的构建的,例如: $ ./waf --prefix=/path/to/install configure build install或者,请参阅以获取原始安装说明(不太...
Kerberos从入门到精通以及案例实操系列(一)
prefect_start的博客
06-05 5742
整个kerberos认证的过程较为复杂,三次通信中都使用了密钥,且密钥的种类一直在变化,并且为了防止网络拦截密钥,这些密钥都是临时生成的Session Key,即他们只在一次Session会话中起作用,即使密钥被劫持,等到密钥被破解可能这次会话都早已结束,这为整个kerberos认证过程保证了较高的安全性。kerberos认证的整体流图kerberos认证的时序图本地登录(无需认证)远程登录(需进行主体认证,认证操作见下文)退出输入:exit2. 创建Kerberos主体。
kerberos详解
空城的博客
12-01 1575
Kerberos始于20世纪80年代早期麻省理工学院(MIT)的一个研究项目,是一个网络身份验证系统。Kerberos提供的完整定义是安全的、单点登录的、可信的第三方相互身份验证服务。
kerberos:介绍
最新发布
玉汝于成
04-19 1938
Kerberos是一种计算机网络授权协议,主要用于在非安全网络环境中对个人通信进行安全的身份认证。这个协议由麻省理工学院(MIT)开发,作为Athena项目的一部分,首次发布于1988年。Kerberos协议目前已经从v1发展到v5,其中v5在1993年被确定为标准的Kerberos协议(RFC1510)。Kerberos协议设计思想的核心是引入一个可信任的第三方来实现客户端和服务端的认证。在Kerberos中,这个可信任的第三方被称为密钥分发中心(KDC)。
Kerberos 认证系统由来适用场景优缺点
wang2leee的博客
10-31 575
Kerberos 认证系统的由来源于开放式网络环境中的安全需求。为了解决这一问题,研究人员提出了 Kerberos 认证系统,它采用第三方认证服务来验证用户身份,提高了网络环境的安全性。Kerberos 的命名方案主要采用一种独特的方式,将用户、服务器和认证服务器的标识信息进行编码。Kerberos 认证系统的设计初衷是为了在开放式网络环境中提供一种可靠、安全的认证方式。该系统在 MIT 的 Athena 项目中得到了广泛应用,并成为当今网络环境中重要的认证基础设施之一。
Kerberos 入门与常用操作 浅析
张伯毅的专栏
02-27 2065
.一 .前言二 .Kerberos认证流程三 .Kerberos Principal四 .Kerberos的优点和不足4.1. 优点4.2. 不足五. KOC常用操作六.Client常用操作 一 .前言 Kerberos协议是 一种计算机网络授权协议, 用于在非安全的网络环境下对个人通信进行加密认证。 Kerberos 通过定义用户 和 服务端所使用的认证身份 (Principal) 来进行访问控制, 用户通过 Kerberos 客户端使用自己的 Principal 向认证服务器进行 身份的认证, 认证
kerberos原理及使用
sanbudeyu_008的博客
05-05 2853
介绍了kerberos的原理、配置、重要的命令行
Penetration-Testing-Cheat-Sheet:一份指南,可帮助渗透测试新手并希望获得渗透测试过程概述的人员。 本指南将帮助希望参加CREST CRT或Offensive Security的OSCP考试的任何人,并旨在涵盖损害主机的每个阶段
05-21
渗透测试 由安全顾问创建的一般注释存储库,用于帮助渗透测试领域的新手。 该存储库面向希望成为渗透测试员的人员,同时帮助希望通过进攻性安全性OSCP考试的任何人。 这里列出的资源是从许多在线资源和书籍中挑选的...
IIS 各种身份验证详细测试第1/2页
01-20
一、 IIS的身份验证概述…. 3 1、 匿名访问… 3 2、 集成windows身份验证… 3 2.1. NTLM验证… 3 2.2. Kerberos验证… 3 3、 基本身份验证… 4 二、 匿名访问…. 4 三、 Windows集成验证…. 5 1、 NTLM验证过程… 5 ...
opensource:一个开放源代码的视频监控管理系统,可帮助人们使这个世界变得更加安全
04-30
Kerberos开源(v3)是一种尖端的视频监视管理系统,根据MIT许可可作为开源使用。 这意味着您或您的公司都可以使用所有源代码,并且可以使用,转换和分发源代码。 只要您保留原始许可证的参考即可。 Kerberos开源(v3...
Web应用安全:无状态的HTTP认证.pptx
06-18
由于每个随机数只会使用一次, 然后就会被标记为过期, 因此可以防止重放攻击(重新发送之前的密文). HTTP Basic 与 HTTP Digest 认证现在已经合并成一个标准, 即 RFC2617。 概述 Digest认证 概述 NTLM认证 概述 ...
Kerberos原理和使用
交换一个思想,能得到俩思想
06-25 1万+
Kerberos原理Kerberos 服务是单点登录系统,这意味着您对于每个会话只需向服务进行一次自我验证,即可自动保护该会话过程中所有后续事务的安全。服务对您进行验证后,即无需在每次使用基于 Kerberos 的服务时进行验证。因此,无需在每次使用这些服务时都在网络上发送口令(增强了安全性)。MIT写了一段故事型的对话,比较生动得表述了Kerberos协议的工作原理:Athena和欧里庇得斯关于
全网最详细 | Kerberos协议详解
Ms08067安全实验室
02-27 6701
目录Kerberos基础PAC特权属性证书1. PAC结构2. PAC凭证信息3. PAC签名4. KDC验证PAC5. PAC在kerberos中的优缺点Kerberos实验AS-REQ & AS-REP1. AS-REQ请求包分析2. AS-REP回复包分析 (1) TGT认购权证 (2) Lo...
安全认证Kerberos
yingzi的技术博客
02-22 984
文章目录一、Kerberos概述1.kerberos简介2.Kerberos术语3.Kerberos认证原理二、Kerberos安装1.安装Kerberos相关服务2.修改配置文件3.初始化KDC数据库4.修改管理权限配置文件5.启动Kerberos相关服务6.创建Kerberos管理员用户三、Kerberos数据库操作1.登录数据库2.创建Kerberos主体3.修改主体密码4.删除Kerberos主体5.查看所有主体四、Kerberos认证操作1.密码认证2.密钥文件认证3.销毁凭证 一、Kerbero
一文搞懂Kerberos
聚集机器学习、信息安全
03-13 3475
Kerberos一词来源于古希腊神话中的Cerberus——守护地狱之门的三头犬,Kerberos是为TCP/IP 网络设计的可信第三方鉴别协议,最初是在麻省理工学院(MIT)为Athena 项目而开发的。Kerberos服务起着可信仲裁者的作用,可提供安全的网络鉴别,允许个人访问网络中不同的机器。
单点登录(SSO)的核心--kerberos身份认证协议技术参考
tanken welcome
12-03 2821
微软Windows Server 2003操作系统实现Kerberos 版本5的身份认证协议。Windows Server 2003同时也实现了公钥身份认证的扩展。Kerberos身份验证的客户端实现为一个SSP(security support provider),能够通过SSPI(Security Support Provider Interface)进行访问。最初的用户身份验证是跟Winlo
【转】谈谈基于Kerberos的Windows Network Authentication
cheran的专栏
12-13 1103
http://www.cnblogs.com/artech/archive/2007/07/07/809545.html Content: 基本原理 引入Key Distribution: KServer-Client从何而来 引入Authenticator : 为有效的证明自己提供证据 引入Ticket Granting  Service:如何获得Ticket Kerbe
【Hadoop】通俗易懂 Kerberos原理
康师傅没有眼泪
05-26 5335
Hadoop 使用Kerberos作为用户和服务的强身份验证和身份传播的基础。Kerberos 是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。Kerberos 是第三方认证机制,其中用户和服务依赖于第三方(Kerberos 服务器)来对彼此进行身份验证。Kerberos服务器本身称为密钥分发中心或 KDC。
Kerberos原理和工作机制
热门推荐
lovebomei的博客
04-19 1万+
1.Kerberos原理和工作机制 概述Kerberos的工作围绕着票据展开,票据类似于人的驾驶证,驾驶证标识了人的信息,以及其可以驾驶的车辆等级。 1.1 客户机初始验证 1.2获取对服务的访问 2.kerberos中的几个概念 2.1 KDC:密钥分发中心,负责管理发放票据,记录授权。 2.2 域:kerberos管理领域的标识。 2.3 princip...
kerberos认证_Mac里捣腾Kerberos(一)
05-16
Kerberos是一种网络认证协议,用于验证用户和服务器之间的身份。在Mac上,可以使用Kerberos来进行身份验证,以便在使用网络服务时不需要再次输入用户名和密码。以下是在Mac上配置Kerberos的步骤: 1. 安装Kerberos ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值