Kerberos 身份验证

已于 2023-09-12 21:25:13 修改
阅读量578 收藏
点赞数
分类专栏: 安全 文章标签: Kerberos 身份认证 协议
于 2023-09-11 23:16:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45066628/article/details/132818799
版权

简介

Kerberos 是一种由 MIT(麻省理工大学)提出的一种基于加密 Ticket 的身份认证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证,用于验证用户或主机的标识。。

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

在 Kerberos 协议中主要是有三个角色的存在:

1、访问服务的 Client;

2、提供服务的 Server;

3、KDC(Key Distribution Center)密钥分发中心(其中包含了The Authentication Server 和 The Ticket Granting Server)

  • Key Distribution Center(即 KDC), 是 Kerberos 的核心组件,主要由三个部分组成:
    1. Kerberos Database: 包含了一个 Realm 中所有的 principal、密码与其他信息。(默认:Berkeley DB)
    2. Authentication Service(AS): 进行用户信息认证,为客户端提供 Ticket Granting Tickets(TGT)。
    3. Ticket Granting Service(TGS): 验证 TGT 与 Authenticator,为客户端提供 Service Tickets
      在这里插入图片描述

Kerberos认证流程

简化版

客户端在访问每个想要访问的网络服务时,他需要携带一个专门用于访问该服务并且能够证明自己身份的票据,当服务端收到了该票据他才能认定客户端身份正确,向客户端提供服务。所以整个认证流程可简化为两大步:

  1. 客户端向KDC请求获取想要访问的目标服务的服务授予票据(Ticket);
  2. 客户端拿着从KDC获取的服务授予票据(Ticket)访问相应的网络服务;
    在这里插入图片描述
    在这里插入图片描述

详细版

上面说到了简化版的Kerberos认证流程,大致的过程确实可以看作这两步,但其中还存在一些问题:

  1. KDC怎么知道你(客户端)就是真正的客户端?凭什么给你发放服务授予票据(Ticket)呢?
  2. 服务端怎么知道你带来的服务授予票据(Ticket)就是一张真正的票据呢?

所以这就需要详细说一下Kerberos 详细认证流程了。所以整个Kerberos认证流程可以细化为三个阶段也可以理解为三次通信:

  1. Client 与 AS 的交互,
  2. Client 与 TGS 的交互,
  3. Client 与 Server 的交互。

第一次通信Client 与 AS 的交互

  1. 客户端用户向KDC以明文的方式发起请求。该次请求中携带了自己的用户名,主机IP,和当前时间戳;

  2. KDC当中的AS(Authentication Server)接收请求(AS是KDC中专门用来认证客户端身份的认证服务器)后去kerberos认证数据库中根据用户名查找是否存在该用户,此时只会查找是否有相同用户名的用户,并不会判断身份的可靠性;

  3. 如果没有该用户名,认证失败,服务结束;如果存在该用户名,则AS认证中心便认为用户存在,此时便会返回响应给客户端,其中包含两部分内容:

    第一部分内容称为TGT,他叫做票据授予票据,客户端需要使用TGT去KDC中的TGS(票据授予中心)获取访问网络服务所需的Ticket(服务授予票据),TGT中包含的内容有kerberos数据库中存在的该客户端的Name,IP,当前时间戳,客户端
    即将访问的TGS的Name,TGT的有效时间以及一把用于客户端和TGS间进行通信的Session_key(CT_SK)。整个TGT使用TGS密钥加密,客户端是解密不了的,由于密钥从没有在网络中传输过,所以也不存在密钥被劫持破解的情况。

    第二部分内容是使用客户端密钥加密的一段内容,其中包括用于客户端和TGS间通信的Session_key(CT_SK),客户端即将访问的TGS的Name以及TGT的有效时间,和一个当前时间戳。该部分内容使用客户端密钥加密,所以客户端在拿到该部分内容时可以通过自己的密钥解密。如果是一个假的客户端,那么他是不会拥有真正客户端的密钥的,因为该密钥也从没在网络中进行传输过。这也同时认证了客户端的身份,如果是假客户端会由于解密失败从而终端认证流程。
    至此,第一次通信完成。

在这里插入图片描述

第二次通信Client 与 TGS 的交互

客户端行为:

  1. 客户端使用CT_SK加密将自己的客户端信息发送给KDC,其中包括客户端名,IP,时间戳;
  2. 客户端将自己想要访问的Server服务以明文的方式发送给KDC;
  3. 客户端将使用TGS密钥加密的TGT也原封不动的也携带给KDC;

TGS行为:

  1. 此时KDC中的TGS(票据授予服务器)收到了来自客户端的请求。他首先根据客户端明文传输过来的Server服务IP查看当前kerberos系统中是否存在可以被用户访问的该服务。如果不存在,认证失败结束,。如果存在,继续接下来的认证。

  2. TGS使用自己的密钥将TGT中的内容进行解密,此时他看到了经过AS认证过后并记录的用户信息,一把Session_KEY即CT_SK,还有时间戳信息,他会现根据时间戳判断此次通信是否真是可靠有无超出时延。

  3. 如果时延正常,则TGS会使用CK_SK对客户端的第一部分内容进行解密(使用CT_SK加密的客户端信息),取出其中的用户信息和TGT中的用户信息进行比对,如果全部相同则认为客户端身份正确,方可继续进行下一步。

  4. 此时KDC将返回响应给客户端,响应内容包括:

    第一部分:用于客户端访问网络服务的使用Server密码加密的ST(Servre Ticket),其中包括客户端的Name,IP,需要访问的网络服务的地址Server IP,ST的有效时间,时间戳以及用于客户端和服务端之间通信的CS_SK(Session Key)。

    第二部分:使用CT_SK加密的内容,其中包括CS_SK和时间戳,还有ST的有效时间。由于在第一次通信的过程中,AS已将CT_SK通过客户端密码加密交给了客户端,且客户端解密并缓存了CT_SK,所以该部分内容在客户端接收到时是可以自己解密的。
    至此,第二次通信完成。

在这里插入图片描述

第三次通信 Client 与 Server 的交互

客户端:

  1. 客户端使用CK_SK将自己的主机信息和时间戳进行加密作为交给服务端的第一部分内容,然后将ST(服务授予票据)作为第二部分内容都发送给服务端。

服务端:

  1. 服务器此时收到了来自客户端的请求,他会使用自己的密钥,即Server密钥将客户端第二部分内容进行解密,核对时间戳之后将其中的CS_SK取出,使用CS_SK将客户端发来的第一部分内容进行解密,从而获得经过TGS认证过后的客户端信息,此时他将这部分信息和客户端第二部分内容带来的自己的信息进行比对,最终确认该客户端就是经过了KDC认证的具有真实身份的客户端,是他可以提供服务的客户端。此时服务端返回一段使用CT_SK加密的表示接收请求的响应给客户端,在客户端收到请求之后,使用缓存在本地的CS_ST解密之后也确定了服务端的身份(其实服务端在通信的过程中还会使用数字证书证明自己身份)。

至此,第三次通信完成。此时也代表着整个kerberos认证的完成,通信的双方都确认了对方的身份,此时便可以放心的进行整个网络通信了。在这里插入图片描述

1、AS-REQ
域内⽤户访问域中的服务,输⼊⽤户名和密码,本机的Kerberos服务会向KDC的AS认证服务 发送AS-REQ认证请求。

  • 请求包:⽤户名、主机名、加密类型 和 Authenticator以及⼀些其他信息。

2、AS-REP
KDC接收到请求之后,通过AD活动⽬录查询得到该⽤户的密码Hash,⽤该密码Hash对请求 包的Authenticator进⾏解密,如果解密成功,则证明请求者提供的密码正确,⽽且需要时间戳 范围在五分钟内,于是预认证成功,校验时间是为了防⽌重放。响应包:TGT 和 ⽤户NTLM-Hash加密的Login Session key以及⼀些其他信息以及PAC。 Login Session key ⽤于在下阶段的交互中的数据加密。
3、TGS-REQ 客户端向KDC申请针对指定服务的ST服务票据请求。
请求包:客户端信息、authenticator、TGT认购凭证和访问的服务名以及⼀些其他信息。info + authenticator(login session key(timestamp)) + TGT + service name
4、TGS-REP
TGS接收到请求之后,检查⾃身是否存在客户端所请求的服务。如果服务存在,使⽤ krbtgt_NTLM Hash解密TGT获取Login Session Key,然后通过Login Session Key解密 Authenticator, 若解密成功,则验证了客户端身份,同时还会验证时问戳是否合法,防⽌重 放。并且还会检查TGT中的时间戳是否过期,原始地址是否和TGT中保存的地址相同,这⾥的 地址主要指的是主机名。
如果验证通过,KDC会⽣成⼀个⽤Logon Session Key加密后的⽤于确保客户端-服务器之间 通信安全的ServiceSession Key会话秘钥。并且会为该客户端⽣成ST服务票据。 ST:响应包:
5、AP-REQ
客户端接收到TGS回复后,通过步骤2中Login Session Key解密得到原始Service Session Key,同时它也拿到了ST(Service Ticket)服务票据。该Serivce Session Key 和 ST服务票据 会 被客户端缓存。
请求包(请求对象为业务服务器):authenticator + ST
6、AP-REP
服务器在接收到请求之后,先通过该服务的NTLM Hash哈希解密ST服务票据,并从中提取 Service Session Key。然后通过提取出来的Service Session Key 解密Authenticator,进⽽验 证了客户端的真实身份。
验证了客户端的身份后,服务端使⽤PAC发送给KDC验证该⽤户的权限。KDC通过SID判断⽤ 户的⽤户组信息,⽤户权限,最终将结果返回给服务端。最终客户端根据KDC的验证结果进 ⾏访问服务。
双向验证 :访问者和被访问者互相验证对⽅的身份。客户端验证服务器–服务端⽤ Service Session Key加密时问戳作为Authenticator,发送给客户端。客户端使⽤ Service Session Key解密authenticator,如果解密成功,则可以验证服务器的合法 性。双向认证过后,开始了服务资源的访问。
linkes:https://seevae.github.io/2020/09/12/%E8%AF%A6%E8%A7%A3kerberos%E8%AE%A4%E8%AF%81%E6%B5%81%E7%A8%8B/

kuokay
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
身份集权设施保护之Kerberos协议
ZAWX_NETSTARSEC的博客
05-30 829
Kerberosting需要选择简单的key,在三种爆破对象中,也就是用户账户,机器账户,服务账户,在比较安全的域中用户账户的安全性会比较高,而机器账户密码是随机生成的,而且三十天更换一次,只有服务账户会出现弱口令的情况,因为在服务部署的时候往往会产生一个固定密码,而且可能从来不去改,所以优先选择服务账户,机器账户也是特殊的服务账户,因为它也有SPN,SPN是唯一标识符,就像下图中的格式,可以理解为代表了特定的服务,SPN只要符合格式,不管服务存不存在都可以用来进行密码爆破。而该属性默认是没有勾选上的。
详解:Kerberos身份验证技术.docx
10-30
本主题将说明Kerberos身份验证是什么以及Windows Server 2003支持的Kerberos V5协议和扩展如何工作。 在这个主题 什么是Kerberos身份验证Kerberos版本5身份验证协议的工作原理 Kerberos身份验证工具和设置
内网渗透测试:Kerberos 协议& Kerberos 认证原理
xnxqwzy的博客
08-21 169
Kerberos 认证并不是天衣无缝的,这其中也会有各种漏洞能够被我们利用,比如我们常说的MS14-068、黄金票据、白银票据等就是基于Kerberos协议进行攻击的。下面我们便来大致介绍一下Kerberos 认证中的相关安全问题。
windows身份认证机制(kerberos
ryanzzzzz的博客
08-23 627
(1)本地认证:用户在设备本地登录windows,通过NTLM协议(NT LAN Manager,一种问询/应答身份验证协议),系统将用户输入的口令计算成NTLM hash,然后与SAM(Security Account Management)数据库中该用户的口令Hash值比对进行身份认证。在第一次交换中,声称者通过共享密钥从认证服务器获取到验证者的许可证票据(Ticket),他们之间的通信即通过之间的共享密钥保护。例如,windows 2000完全系统集成Kerberos V5、公钥证书和NTLM。
java判断用户是否在某一个区域登录_Spring Security与Java应用安全保护
weixin_39588265的博客
11-29 145
Spring Security是一个强大且高度可定制的安全框架,致力于为Java应用提供身份认证和授权。第一本Spring Security中文版图书《Spring Security实战》现已上市,文末参与互动赢取新书~Spring Security 的前身是Acegi Security,在被收纳为Spring 子项目后正式更名为SpringSecurity。从5.1.3.RELEASE...
CDH开启kerberos报错:Ticket expired
qq_32068809的博客
08-19 864
我是参考cloudera官方文档上的开启kerberos向导做的,地址:https://docs.cloudera.com/cdp-private-cloud-base/7.1.5/security-kerberos-authentication/topics/cm-security-kerberos-enabling-step4-kerberos-wizard.html 开启过程中,最后的启动集群步骤开始报错,报错的服务有kafka、hbase、JobHistory等,相关日志如下: kafka、hb
使用MIT配置kerberos访问oozie
weixin_44951500的博客
02-28 224
使用oozie的域名访问oozie。: 添加oozie的hosts。输入about:config。
Kerberos认证流程及基本操作
qq_45329047的博客
03-23 3141
Kerberos主要是有三个重要的角色:1、访问服务的Client2、提供服务的Server3、KDC(Key Distribution Center)密钥分发中心,其中报错AS(authorization server)和TGS(ticket granting server)上图 AD其实类似于一个本机的一个数据库,存储所有client的白名单。
内网渗透之kerberos协议解析
未完成的歌~的博客
07-13 594
Kerberos协议是由麻省理工学院(MIT)开发的一种网络身份验证协议,用于在非安全网络中实现安全的身份验证。其设计目标是通过密钥系统为客户与服务器应用程序提供强大的认证服务。Kerberos协议要解决的实际上就是一个身份认证的问题,顾名思义,当一个客户机去访问一个服务器的某服务时,服务器如何判断该客户机是否有权限来访问本服务器上的服务,同时保证在该过程中的数据包即便被拦截或者被篡改也不影响整个通讯的安全性。
flask-kerberos:烧瓶的Kerberos身份验证
05-08
烧瓶Kerberos 烧瓶Kerberos是一个扩展,,使您可以添加平凡的身份验证您的网站。 它取决于Flask和 1.1.1+。 您可以使用easy_install或pip从PyPI安装需求,或手动下载需求。 不幸的是,与大多数kerberos一样,它需要...
kerberos:用于 kerberos 身份验证的 Clojure 库
06-30
kerberos 用于 Kerberos 身份验证的 Clojure 库。 还包括用于 SPNEGO 身份验证的环中间件。用法Ring 和 Compojure 的示例: (ns kerberos-spnego.core.handler (:require [clojure.pprint :refer [pprint]] ...
kgitlab:用于为GitLab启用Kerberos身份验证的实用程序
04-28
由于GitLab Shell期望SSH用户使用SSH密钥进行身份验证,因此kgitlab会为用户生成一种“虚拟” SSH密钥,并将其映射到Kerberos主体。 然后,在登录时,kgitlab可以查找与Kerberos主体关联的密钥,并将正确的密钥号...
mod_spnego:在 Windows 上运行的 Apache HTTP Server 的 Kerberos 身份验证-开源
07-11
mod_spnego 允许使用 Kerberos 对在 Windows 上的 Apache HTTP 服务器 (httpd) 上运行的网站的用户进行身份验证。 然后,经过身份验证的用户在服务器变量 AUTH_USER 中可用。 sourceforge 上仅托管下载,来源位于 ...
UPS、蓄电池、空开、电缆配置计算方法.pptx
04-27
5G通信行业、网络优化、通信工程建设资料
node-v7.4.0.tar.xz
最新发布
04-27
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Unity mesh减面工具 Mesh Simplify 1.12
04-27
Unity mesh减面工具 Mesh Simplify 1.12
基于Springboot+Vue酒店客房入住管理系统-毕业源码案例设计.zip
04-27
网络技术和计算机技术发展至今,已经拥有了深厚的理论基础,并在现实中进行了充分运用,尤其是基于计算机运行的软件更是受到各界的关注。加上现在人们已经步入信息时代,所以对于信息的宣传和管理就很关键。系统化是必要的,设计网上系统不仅会节约人力和管理成本,还会安全保存庞大的数据量,对于信息的维护和检索也不需要花费很多时间,非常的便利。 网上系统是在MySQL中建立数据表保存信息,运用SpringBoot框架和Java语言编写。并按照软件设计开发流程进行设计实现。系统具备友好性且功能完善。 网上系统在让售信息规范化的同时,也能及时通过数据输入的有效性规则检测出错误数据,让数据的录入达到准确性的目的,进而提升数据的可靠性,让系统数据的错误率降至最低。 关键词:vue;MySQL;SpringBoot框架 【引流】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
java api 实现 es的 Kerberos身份验证
05-30
要在Java API中实现ES的Kerberos身份验证,可以按照以下步骤进行操作: 1.启用Kerberos认证:在ES的配置文件中,将xpack.security.authc.realms.kerberos.enabled设置为true,并设置其他相关的Kerberos配置参数,如krb5.conf和jaas.conf文件的路径等。 2.在Java代码中创建Kerberos认证的TransportClient:可以使用TransportClient.Builder类来创建Kerberos认证的TransportClient,并设置相应的Kerberos认证参数。 3.使用Kerberos认证的TransportClient进行ES操作:使用TransportClient进行ES操作时,可以通过调用prepareSearch()、prepareIndex()等方法来创建相应的SearchRequest、IndexRequest等请求对象,并使用Kerberos认证的TransportClient来执行这些请求。 以下是一个使用Java API实现ES的Kerberos身份验证的示例代码: ``` import org.elasticsearch.client.transport.TransportClient; import org.elasticsearch.common.settings.Settings; import org.elasticsearch.common.transport.InetSocketTransportAddress; import org.elasticsearch.transport.client.PreBuiltTransportClient; import java.net.InetAddress; import java.util.concurrent.ExecutionException; public class KerberosAuthExample { public static void main(String[] args) throws ExecutionException, InterruptedException { //设置Kerberos认证相关参数 System.setProperty("java.security.auth.login.config", "/path/to/jaas.conf"); System.setProperty("javax.security.auth.useSubjectCredsOnly", "false"); System.setProperty("sun.security.krb5.debug", "true"); //创建Kerberos认证的TransportClient TransportClient client = new PreBuiltTransportClient(Settings.builder() .put("xpack.security.user", "elastic:password") .put("cluster.name", "my-cluster") .put("xpack.security.authc.realms.kerberos.type", "kerberos") .put("xpack.security.authc.realms.kerberos.order", "0") .put("xpack.security.authc.realms.kerberos.acceptor_principal", "HTTP/[email protected]") .put("xpack.security.authc.realms.kerberos.keytab.path", "/path/to/keytab") .build()) .addTransportAddress(new InetSocketTransportAddress(InetAddress.getByName("localhost"), 9300)); //使用Kerberos认证的TransportClient进行ES操作 client.prepareSearch("my-index") .setQuery(QueryBuilders.matchAllQuery()) .setSize(10) .get(); //关闭TransportClient client.close(); } } ``` 注意:以上示例代码仅供参考,实际使用时需要根据具体情况进行修改。另外,Kerberos身份验证需要配置KDC和相关的Kerberos文件,具体操作请参考相关文档或向相关人员咨询。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

kuokay

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值