快速入门Kerberos认证

最新推荐文章于 2025-04-05 16:21:38 发布

杨林伟

最新推荐文章于 2025-04-05 16:21:38 发布

阅读量1.1k

点赞数 1

分类专栏： # Hadoop生态圈文章标签： kerberos 安全认证大数据

本文链接：https://blog.csdn.net/qq_20042935/article/details/131281618

版权

Hadoop生态圈专栏收录该内容

23 篇文章

订阅专栏

Kerberos是一个用于网络身份验证的安全协议，涉及KDC、AS、TGS等组件。用户通过AS获取TGT，然后用TGT向TGS请求服务票据以访问特定服务。整个流程包括客户端、服务端的身份验证和票据交换，确保安全通信。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

01 引言

Kerberos是一个计算机网络认证协议，用于实现网络中的身份验证和安全通信。它提供了一种安全的方式，允许用户在一个不可信任的网络环境中进行身份验证（关键点：Security-安全 和 Authentication-认证）。

02 核心概念

在学习kerberos之前，先熟悉一下其核心概念，首先看看涉及到哪些对象概念：

概念	说明
KDC	密钥分发中心（Key Distribution Center，KDC）是`AS`和`TGS`的组合，是`Kerberos`系统的核心组件，`KDC`负责颁发和管理凭据和票据，以及处理用户的身份验证请求
AS	认证服务器（Authentication Server，AS）是`Kerberos`系统中的第一个组件，负责用户的身份验证，用户向`AS`发送凭据以请求服务票据（Ticket Granting Ticket，TGT）
TGS	服务票据授予服务器（Ticket Granting Server，TGS）是`Kerberos`系统中的第二个组件，负责颁发服务票据，用户使用`TGT`向`TGS`请求服务票据，该票据用于访问特定服务。
Client	客户端（Client）是发起`Kerberos`身份验证过程的用户或应用程序，它请求`TGT`和服务票据，并使用它们访问受保护的资源。
Service	服务（Service）是提供特定功能或资源的网络应用程序或服务器，服务通过验证和解析服务票据来验证客户端的身份，并授权客户端访问资源。

与票据相关的概念：

概念	说明
Ticket	凭据（ticket）是客户端用于证明其身份的信息，在`Kerberos`中，通常使用用户名（`Principal`）和密码（`Keytab`）作为凭据进行身份验证（`Principal`是`Kerberos`中用于表示身份标识的字符串，通常采用"`主体名称@REALM`"的格式，`Keytab`文件是一个用于存储`Principal`和对应密钥的安全文件）。
TGT	TGT（Ticket Granting Ticket）是由`AS`颁发给客户端的加密票据，用于请求服务票据，客户端在`TGS`请求过程中使用`TGT`进行身份验证。
Service Ticket	服务票据（Service Ticket）是由`TGS`颁发给客户端的加密票据，用于访问特定服务，客户端将服务票据发送给服务以证明其身份
Session Key	会话密钥（Session Key）是客户端和服务之间用于加密和解密通信的对称密钥，在`Kerberos`中，会话密钥在`TGS`颁发的服务票据中传递给客户端

其它概念：

概念	说明
Realm	安全领域（`Realm`）是`Kerberos`系统的逻辑边界，包含一组受信任的用户、服务和`KDC` ，安全领域通常对应于网络中的域或领域树
安全策略	安全策略是定义`Kerberos`系统中访问和授权规则的规则集合，它确定谁可以访问哪些服务和资源，并规定了密码策略和会话策略等安全设置。

03 流程图

流程图如下（图片来源：https://seevae.github.io）
在这里插入图片描述
下面是各个步骤的说明：

step1：客户端向认证服务器（AS）发送凭据（通常是用户名Principal和密码keytab）以请求TGT；
step2：AS验证客户端的凭据，如果验证通过，生成一个TGT，并使用客户端的密码加密该TGT，发送回客户端，客户端收到TGT后，存储在本地；
step3：客户端向服务票据授予服务器（TGS）发送TGT以请求访问特定服务的服务票据，TGS验证客户端的TGT，并生成一个服务票据（Service Ticket）；
step4：TGS使用服务的密钥（通常从服务的keytab文件中获取）加密服务票据，并发送回客户端。
step5：客户端收到服务票据后，可以使用它访问特定的服务，客户端向服务发送服务票据以证明其身份。
step6：服务使用服务票据中的会话密钥（Session Key）进行验证，如果验证通过，客户端被授权访问服务。

注意，关于票据的时效如下：

TGT（Ticket Granting Ticket） 通常是一次性票据：它用于获取服务票据，一旦TGT用于获取服务票据，TGT即失效，需要重新进行身份验证来获取新的TGT；
服务票据（Service Ticket） 通常是临时票据：客户端使用TGT向TGS请求服务票据，服务票据会包含一个会话密钥，它在一段时间内有效用于与服务进行安全通信，一旦会话结束或过期，临时票据也会失效；
服务的密钥（Service Key） 通常是永久票据：服务的密钥是在服务启动时从KDC获取的，并且在服务的生命周期内保持有效，客户端在访问服务时使用服务票据进行身份验证，而服务使用其永久票据（服务的密钥）进行验证。

ok，到了这里，相信大家也理解了kerberos的一些概念和流程了，为了更深入票据（ticket）在整个流程中是如何改变的，我在维基百科里找到了一张很不错的图片，大家可以过一下：
在这里插入图片描述

04 文末

Kerberos被广泛运用在大数据生态中，甚至可以说是大数据身份认证的事实标准了，本文只是一个快速入门讲解，实际的Kerberos协议中还有更多的细节和步骤，如票据的过期和续订等。此外，实际的Kerberos部署可能还涉及其他组件和步骤，例如密钥分发中心（KDC）的分布式部署和凭据缓存等，有机会再写kerberos in hadoop相关的文章😁。

希望能帮助到大家，谢谢大家的阅读，本文完！