【安全】JAAS/GSS-API/SASL/Kerberos简介

最新推荐文章于 2024-07-09 11:56:02 发布
最新推荐文章于 2024-07-09 11:56:02 发布
阅读量2.5k 收藏 3
点赞数
分类专栏: 不体系 文章标签: 安全
本文为博主九师兄(QQ:541711153 欢迎来探讨技术)原创文章,未经允许博主不允许转载。
本文链接:https://blog.csdn.net/qq_21383435/article/details/93366645
版权
不体系 专栏收录该内容
156 篇文章 452 订阅 ¥39.90 ¥99.00
订阅专栏
本文介绍了Kerberos在分布式系统中的应用,涉及JAAS(Java Authentication and Authorization Service)、GSS-API、SASL(Simple Authentication and Security Layer)等安全框架。JAAS提供认证与授权服务,GSS-API用于安全信息交换,SASL用于跨节点通信的认证与加密。Kerberos认证过程中,JAAS负责登录认证,GSS-API和SASL则在不同阶段保障安全交互。
摘要由CSDN通过智能技术生成

文章目录


在这里插入图片描述

JAAS/GSS-API/SASL/Kerberos简介

如果将Kerberos引入到一个分布式系统中提供身份认证与服务授权时,还涉及到一系列与安全有关的框架技术与接口协议,包括:如何对认证的对象或访问的资源进行抽象?应用通过什么样的接口进行Kerberos认证?如何保障跨节点通信时的安全传输?Java Security中均提供了现成的实现。

JAAS

JAAS是Java Authentication and Authorization Service的缩写,提供了认证与授权相关的服务框架与接口定义:

  • 认证:认证主要是验证一个用户的身份。
  • 授权:授权用户访问或操作某些敏感的资源。

前一篇文章<Java认证与授权服务JAAS基础概念>已经做了详细的介绍。

2. GSS-API

Java GSS-AP

了解本专栏 订阅专栏 解锁全文
九师兄
关注
专栏目录
订阅专栏
Kafka安全认证:SASL/GSSAPI (kerberos)
foureyes
05-01 6186
文章目录kafka和zookeeper开启kerberos认证1. 环境2. 创建主体并生成keytab3. 配置jaas.conf4. 配置kafka server.properties5. 配置kafka zookeeper.properties6. kafka broker+zookeeper启动脚本7. kafka client的使用7.1 producer7.2 consumer kaf...
java sasl例子_使用 GSSAPISASL 进行 Kerberos 验证的示例配置
weixin_36128925的博客
03-04 785
使用 GSSAPISASL 进行 Kerberos 验证的示例配置为目录服务器配置 Kerberos 的过程可能非常复杂。应该首先参考 Kerberos 文档。要获取更多帮助,请通过以下示例过程了解应该执行哪些步骤。但是请注意,此过程仅仅是一个示例。您必须对过程进行相应修改,使其符合您自己的配置和环境。可以在《System Administration Guide: Security Ser...
Hadoop安全基于KerberosSASL详解续
gezooo的专栏
05-08 977
工作上由于需要给hive的metastore做逻辑元数据以及支持水平扩展,在waggle-dance的基础上增强了kerberos的功能,上线之后发现运行一天之后,请求失败,报GssException no tgt. waggle-dance在启动的时候,我调用过了 UserGroupInformation.loginFromKeyTab() 方法, 登录之后,会生成一个全局的loginUser, 后面所有调用UserGroupInformation的地方都会获取到登录过的用户。 登录成功之后,log
sshd启动提示Bad configuration option: GSSAPIKexAlgorithms
最新发布
weixin_59164654的博客
07-09 1107
首先查看/etc/ssh/sshd_config,把文件中关于GSSAPIKexAlgorithms 的行都注释掉了,重启还是一样,然后在/etc/crypto-policies/back-ends/openssh.config ,把相关GSSAPIKexAlgorithms的行也注释掉了,重启还是报错。在/etc/crypto-policies/back-ends/openssh.config 相关GSSAPIKexAlgorithms的行注释。修改完成,检查一下openssh版本,升级成功,收工。
GSS API
diaohubie5623的博客
03-03 223
Detail:http://docs.oracle.com/cd/E24847_01/html/E22200/overview-61.html GSS-API 介绍 使用 GSS-API,程序员在编写应用程序时,可以应用通用的安全机制。开发者不必针对任何特定的平台、安全机制、保护类型或传输协议来定制安全实现。使用 GSS-API,程序员可忽略保护网络数据方面的细节。使用 GSS-...
集成 OpenLDAP 与 Kerberos 实现统一认证 (3):基于 SASL/GSSAPI 深度集成
Laurence的技术博客
06-07 2817
本文首发于 InfoQ,写作本系列文章的背景是我们要在大数据平台/企业数据湖场景下给出中心化的用户身份认证方案。此前,我们实现过Windows AD + Kerberos的集成方案,由于Windows AD是LDAP和Kerberos的双重实现,这种天然优势使得Windows AD可以实现真正意义上的(大数据集群的)Kerberos账号与企业用户账号的统一管理。当我们想在OpenLDAP + Kerberos上实现同样的目标时,发现这一领域的知识与方案琐碎而凌乱,缺少统一连贯,脉络清晰的讲解
使用JAAS登录kerberos服务器
weixin_34037515的博客
08-24 539
java代码: package com.snsprj.jaas0822; import javax.security.auth.*; import javax.security.auth.callback.*; import javax.security.auth.login.*; import com.sun.security.auth.callback.TextCallbackHandle...
GSS-API GSSAPI 介绍 通用的安全机制
whatday的专栏
02-21 8807
通用安全服务应用程序接口(GSSAPI) 是为了让程序能够访问安全服务的一个应用程序接口。 使用 GSS-API,程序员在编写应用程序时,可以应用通用的安全机制。开发者不必针对任何特定的平台、安全机制、保护类型或传输协议来定制安全实现。使用 GSS-API,程序员可忽略保护网络数据方面的细节。使用 GSS-API 编写的程序在网络安全方面具有更高的可移植性。这种可移植性是通用安全服务 API 的...
Kafka 1.1.1版本利用SASL/Kerberos进行身份认证
ShanQuanQiang的专栏
01-16 6060
  准备工作 配置kdc 配置kafka brokers 配置zookeeper 配置kafka客户端 常见问题 1.准备工作 系统环境:Centos 7 在Kerberos的部署过程中,要求使用FQDN,即Hostname.DomainName。 hostname的查看命令: hostname domainname的查看命令:d...
ZOOKEEPER、HDFS、YARN、HBASE配置Kerberos认证
程序猿丶HLK
02-28 5154
注:在配置kerberos认证之前,必须先确保成功安装kerberos集群 安装教程:Centos7安装大数据安全认证组件Kerberos。 一、环境说明 环境说明 系统环境 集群节点分布 名称 版本 IP地址 ...
JAAS简介及实例
03-01
原代码 博文链接:https://callan.iteye.com/blog/158392
Ambari加Kerberos认证后,Zookeeper执行命令./zkCli.sh报错
周源的专栏
07-23 3900
错误输出 WATCHER:: WatchedEvent state:SyncConnected type:None path:null 2018-07-20 17:28:24,896 - ERROR [main-SendThread(localhost:2181):ZooKeeperSaslClient@388] - An error: (java.security.PrivilegedAct...
kerberos java实现,基于kerberos实现jaas登录
weixin_34766991的博客
03-16 1544
这段时间在做hadoop和kerberos的整合,顺便看了jaaskerberos,这里给出使用kerberos登录模块的jaas例子。前提条件1.kerberos已经安装,principal已经创建,这里用的principal是已经建好的nn/admin@psy.com;2.客户端配置了kerberos;3.在JDK_HOME\jre\lib\security\java.security中增加...
centos7配置kerberos服务,并使用JAAS登录
weixin_34293059的博客
08-24 620
准备两个虚拟机:192.168.1.101、192.168.1.102,101作为kerberos的server端,102作为kerberos的client端。开启88端口。 1、安装kerberos服务server端 yum -y install krb5-libs krb5-server 1.1、配置/etc/krb5.conf # Configuration snippets may ...
(二)Kafka 安全之使用 SASL 进行身份验证 —— SASL/Kerberos 验证
流华追梦的专栏
06-25 1034
接上一篇《(一)Kafka 安全之使用 SASL 进行身份验证 —— JAAS 配置、SASL 配置》,本文从第四节开始。
SASL, JAAS, JSSE & Java GSS-API总结
少数派
05-24 487
SASL JAAS JSSE JGSS-API 全称: SASL(Simple Authentication and Security Layer) JAAS(JAVA Authentication and Authorization Service) JSSE(Secure Socket Extension) Java GSS-API(Java Generic Security Service...
JAAS/GSS-API/SASL/Kerberos简介
不见其长,日有所长
07-07 1569
1. 前言 如果将Kerberos引入到一个分布式系统中提供身份认证与服务授权时,还涉及到一系列与安全有关的框架技术与接口协议,包括:如何对认证的对象或访问的资源进行抽象?应用通过什么样的接口进行Kerberos认证?如何保障跨节点通信时的安全传输?Java Security中均提供了现成的实现。 2. JAAS JAAS是Java Authentication and Authorization Service的缩写,提供了认证与授权相关的服务框架与接口定义: 认证:认证主要是验证一个用户的身份。 授权
(一)Kafka 安全之使用 SASL 进行身份验证 —— JAAS 配置、SASL 配置
流华追梦的专栏
06-24 2167
SASL 是用来认证 C/S 模式也就是服务器与客户端的一种认证机制,全称 Simple Authentication and Security Layer。这就是一种凭据认证方式。通俗的话来讲就是让服务器知道连接进来的客户端的身份是谁。比如凭借阅证到图书馆借书,而每个借阅证都有独立的 ID,通过 ID 定位谁是谁,而不是特别关心谁拿到了借阅证,只需要正确的借阅证即可。所以 SASL 就是服务器存储了客户端的身份证书和如何校验密码是否正确,而且仅在于身份认证过程,认证完毕后即可进行相关的服务操作。
public static void main(String[] args) throws Exception { StreamExecutionEnvironment env = StreamExecutionEnvironment.getExecutionEnvironment(); env.setParallelism(1); System.setProperty("java.security.krb5.conf", "D:/project/lab-project/src/main/resources/kerberos/dev/krb5.conf"); System.setProperty("javax.security.auth.useSubjectCredsOnly", "false"); System.setProperty("java.security.auth.login.config", "D:/project/lab-project/src/main/resources/kerberos/dev/jaas.conf"); Configuration conf = new Configuration(); conf.set("hadoop.security.authentication", "kerberos"); try { UserGroupInformation.loginUserFromKeytab("c.dev.hdfs", "D:/project/lab-project/src/main/resources/kerberos/dev/ic.dev.hdfs.keytab"); System.out.println("鉴权ok"); UserGroupInformation.getCurrentUser().doAs(new PrivilegedAction<Object>() { @Override public Object run() { FlinkKafkaConsumer<String> consumer = new FlinkKafkaConsumer<>("connect-configs", new StringSchema(), getKafkaProperties()); consumer.setStartFromEarliest(); env.addSource(consumer).print(); try { env.execute("flink kafka test"); } catch (Exception e) { throw new RuntimeException(e); } return null; } }); } catch (IOException e) { System.out.println("连接异常"); throw new RuntimeException(e); } }
06-01
代码中涉及到了 Kerberos 认证,包括设置 Kerberos 配置、登录用户,以及设置 Jaas 配置等。在代码中,使用了 UserGroupInformation 类的 loginUserFromKeytab 方法来登录 Kerberos,并使用 doAs 方法来运行 Flink ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

九师兄

你的鼓励是我做大写作的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值