安全认证Kerberos

最新推荐文章于 2024-07-29 11:33:03 发布

未来影子

最新推荐文章于 2024-07-29 11:33:03 发布

阅读量1k

点赞数

分类专栏：大数据项目大数据文章标签：安全大数据

本文链接：https://blog.csdn.net/mynameisgt/article/details/123068505

版权

大数据项目同时被 2 个专栏收录

9 篇文章 1 订阅

订阅专栏

大数据

8 篇文章 0 订阅

订阅专栏

一、Kerberos概述

1.kerberos简介

	kerberos是一种计算机网络认证协议，用来在非安全网络中，对个人通信以安全的手段进行身份认证。这个词又指MIT学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构，并且能够进行相互认证，即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合，是一种应用对称密钥体制进行密钥管理的系统。

2.Kerberos术语

Kerberos中有以下一些概念需要了解：

KDC（Key Distribute Center）：密钥分发中心，负责存储用户信息，管理方法票据
Realm：Kerberos所管理的一个领域或范围，称之为一个Realm
Principal：Kerberos所管理的一个用户或者一个服务，可以理解为Kerberos中保存的一个账号，其格式通常如下：primary/instance@realm
keytab：Kerberos中的用户认证，可以通过密码或者密钥文件证明身份，keytab指密钥文件

3.Kerberos认证原理

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jYtWxolh-1645513083006)(C:\Users\Admin\AppData\Roaming\Typora\typora-user-images\image-20220216201022510.png)]$

二、Kerberos安装

1.安装Kerberos相关服务

选择一台主机做为Kerberos服务端，安装KDC

yum install -y kerb5-server

所有客户端主机都需要部署Kerberos客户端

yum install -y krb5-workstation krb5-libs

2.修改配置文件

在服务端主机

vim /var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 EXAMPLE.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }

在所有客户端主机

vim /etc/krb5.conf

内容如下
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
 default_realm = EXAMPLE.COM
 #default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 EXAMPLE.COM = {
  kdc = hadoop102
  admin_server = hadoop102
 }
[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM

3.初始化KDC数据库

在服务端主机执行以下命令，并根据提示输入密码

kdb5_util create -s

4.修改管理权限配置文件

在服务端主机修改/var/kerberos/krb5kdc/kadm5.acl文件

vim /var/kerberos/krb5kdc/kadm5.acl

*/admin@EXAMPLE.COM     *

5.启动Kerberos相关服务

在主服务端启动KDC，并配置开机自启

systemctl start krb5kdc
systemctl enable krb5kdc

在主服务端开启Kadmin，该服务为KDC数据库访问入口，并配置开机自启

systemctl start kadmin
systemctl enable kadmin

6.创建Kerberos管理员用户

在主服务端（KDC所处）上执行以下命令，并安装提示输入密码

kadmin.local -q "addprinc admin/admin"

三、Kerberos数据库操作

1.登录数据库

1）本地登录（无需认证）

kadmin.local

2）远程登录（需进行主体认证，认证操作见下文）

kadmin

2.创建Kerberos主体

登录数据库，输入以下命令，并按照提示输入密码

kadmin.local:addprinc test

3.修改主体密码

在数据库中，修改test的密码

cpw test

4.删除Kerberos主体

在数据库中，删除test主体，并输入yes，确定删除

delete_principal test

5.查看所有主体

在数据库中，展示所有创建过的主体

list_principals

四、Kerberos认证操作

1.密码认证

1）使用kinit进行主体认证，并按照提示输入密码，例如：对test主体进行认证

kinit test

2）查看认证凭证

klist

2.密钥文件认证

1）生成主体test的keytab文件到指定目录/root/test.keytab

kadmin.local -q "xst -norandkey -k  /root/test.keytab test@EXAMPLE.COM"

注：-norandkey的作用是声明不随机生成密码，若不加该参数，会导致之前的密码失效。

2）使用keytab进行认证

kinit -kt /root/test.keytab test

3.销毁凭证

kdestroy