Kerberos认证流程及基本操作

最新推荐文章于 2025-03-10 15:45:07 发布
最新推荐文章于 2025-03-10 15:45:07 发布
阅读量4k 收藏 17
点赞数 6
文章标签: 数据库 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45329047/article/details/129731585
版权

一 Kerberos的三个角色

Kerberos主要是有三个重要的角色:

1、访问服务的Client

2、提供服务的Server

3、KDC(Key Distribution Center)密钥分发中心,其中报错AS(authorization server)和TGS(ticket granting server)

 

上图 AD其实类似于一个本机的一个数据库,存储所有client的白名单。

二 Kerberos的认证流程

根据上图我们梳理胰腺癌Kerberos的具体认证流程:

1、首先client表明需求并使用密码对请求进行加密,去访问KDC中AS,AS用提供的密码对请求进行解密后得到请求内容,返回给client一个TGT(ticket granting tickets)(加密的)

2、client得到TGT后使用TGT去访问TGS,TGS验证TGT后(使用密钥解密)返回Ticket给client

3、client得到ticket后去访问server,server收到ticket和KDC进行验证,验证通过后提供服务。

需要注意:Kerberos每次认证都有一个认证允许访问时间,也就是client认证通过后,下次访问如果在还在允许访问时间内,那样就不用再次认证了。

我们简单的举个生活中例子来理解:

比如现在疫情期间去公园玩,需要提前一天预约,你在网上预约后,会给你一个预约信息,第二天拿着预约信息去售票处买票,售票处会给你一张公园门票,你拿着门票去公园入口刷门票才能进入公园。

在去公园玩的流程中

1、网上预约返回给你一个预约信息这个过程就相当于client(你)去访问AS(网上预约中心),AS返回给client一个TGT(预约信息)

2、你拿着预约信息去售票处买票,售票处给你一张票这个过程就相当于client(你)使用TGT(预约信息)去访问TGS(售票处),TGS返回client一个Ticket(公园门票)

3、你拿着门票去刷票入园就相当于client(你)用ticket(公园门票)去server(公园入口),server收到ticket和KDC(检票机)进行验证,通过才能访问

4、门票的时间是一天,相当于Kerberos的允许访问时间,你进公园再出来,当天在进公园就不需要再去预约,买票了,只需要去刷票进去就行。

三 Kerberos的搭建

客户方都是搭建好的,有需求再更新

四 Kerberos的使用

1、需要知道两个重要文件,krb5.conf里边是Kerberos的配置信息,***.keytab文件可以理解问ticket钥匙(公园门票)

2、Kerberos的账户样式:用户名/instance@域名 (域名大写)

3、客户端进行kerberos认证的方法(一些在客户现场可能用到的简单操作):

#(例如kerberos用户为:test/admin@KYLIN.COM)
#客户端使用kerberos先执行下边命令获取ticket
kinit test/admin@KYLIN.COM
然后需要输入用户密码

#输入密码后执行klist命令查看ticket信息

#为账户创建.keytab文件
   #首先需要先进入Kerberos的admin后台,执行
   kadmin
   #创建用户test/admin@KYLIN.COM的免密登陆keytab文件
   ktadd -k {keytab文件路径}/test.keytab
   #又keytab文件后可以指定keytab文件进行免密认证
   kinit -kt {路径}/test.keytab test/admin@KYLIN.COM
   #再执行klist查看时候认证成功,成功后返回ticket信息

清心静语
关注
kerberos认证_Kerberos认证流程
weixin_39695241的博客
12-03 2379
前言:面试经常会被问到Kerberos认证流程这里就一步一步写认真水一篇文章吧。1.Kerberos身份认证先了解以下名词概念:KDC(Key Distribution Center)= 密钥分发中心AS(Authentication Server)= 认证服务器TGS(Ticket Granting Server)= 票据授权服务器TGT(Ticket Granting Ti...
大数据之Kerberos认证
m0_70949976的博客
05-15 5889
Kerberos 是一个网络身份验证协议,用于在计算机网络中进行身份验证和授权。它提供了一种安全的方式,允许用户在不安全的网络上进行身份验证,并获取访问网络资源的权限。
Kerberos认证流程详解
热门推荐
jewes的专栏
03-08 5万+
Kerberos是诞生于上个世纪90年代的计算机认证协议,被广泛应用于各大操作系统和Hadoop生态系统中。了解Kerberos认证流程将有助于解决Hadoop集群中的安全配置过程中的问题。为此,本文根据最近阅读的一些材料,详细介绍Kerberos认证流程。欢迎斧正!
kerberos集群安装部署【详细】
最新发布
mandiandengwo的博客
03-10 1171
kerberos的基本原理不做过多介绍了,可自行查阅;本文主要介绍kerberos的安装及使用;使用到的软件版本:系统:Red Hat Enterprise Linux release 8.6 (Ootpa) 、krb5-server:1.18.2。Kerberos Client 根据需要进行安装,安装后可以使用 kadmin 命令;对应在 Kerberos Server 上使用 kadmin.local 命令。Kerberos 服务机器上可以使用 kadmin.local 来执行各种管理的操作。
【转】谈谈基于Kerberos的Windows Network Authentication
cheran的专栏
12-13 1152
http://www.cnblogs.com/artech/archive/2007/07/07/809545.html Content: 基本原理 引入Key Distribution: KServer-Client从何而来 引入Authenticator : 为有效的证明自己提供证据 引入Ticket Granting  Service:如何获得Ticket Kerbe
kerberos认证过程
weixin_55821558的博客
03-20 1007
1.KDC,uname,upwd -x算法=>authticator 暗号 2.KDC ->uname,pwd->x1算法->解密authticator 确认客户端身份->生成登录会话秘钥login key 3.KDC发送两部分内容 1.KDC key加密的(userinfo用户信息,loging key)就是TGT,TGT的中文意思相当于认购权证 ,2.upwd加密的(login key) 4.客户端->使用upwd解密得到login key并缓存,同时缓存TGT,.
Kerberos 认证流程详解
m0_57836225的博客
09-25 1340
Kerberos 是一种基于对称密钥加密的网络认证协议,它的设计目标是在不安全的网络环境中为用户和服务提供安全的认证和授权。Kerberos 协议的核心是一个密钥分发中心(Key Distribution Center,KDC),它负责管理用户和服务的密钥,并为用户和服务之间的通信提供认证和授权。Kerberos 是一种强大的网络认证协议,它提供了安全、高效、可扩展的认证机制。了解 Kerberos 认证流程对于保障网络安全至关重要。
java实现flink订阅Kerberos认证的Kafka消息示例源码
04-16
在Java中实现Flink订阅Kerberos认证的Kafka消息是一项关键任务,特别是在处理安全敏感的数据流时。本文将深入探讨这一主题,介绍如何利用Apache Flink与Kafka的集成,以及如何通过Kerberos进行身份验证。 首先,...
kerberos认证机制
08-24
接下来,我们将更详细地介绍Kerberos认证机制的工作流程。 ##### **2.1 客户端请求服务** 当客户端想要访问一个受保护的服务时,它会首先向Kerberos认证服务器发送一个请求。在这个请求中,客户端会提供自己的...
hadoop快速集成kerberos认证
01-13
通过`start-kerberos-zk.sh`脚本,可以一键启动Kerberos认证的ZooKeeper服务,简化了操作流程。 `hbase-setup.sh`可能是用来自动化HBase的Kerberos配置和启动的脚本。这个脚本会根据预设的配置修改HBase的相关设置...
kerberos安全认证demo
11-09
Kerberos是一种强大的网络身份验证...同时,提供的开发文档将指导用户理解配置过程、解决可能出现的问题,以及如何测试和验证Kerberos认证的有效性。这个压缩包对于理解和实践Hadoop生态系统中的安全性具有很高的价值。
kerberos认证过程,AD域认证
06-12
Authentication解决的是“如何证明某个人确确实实就是他或她所声称的那个人”的问题。对于如何进行Authentication,我们采用这样的方法:如果一个秘密(secret)仅仅存在于A和B,那么有个人对B声称自己就是A,B通过让A提供这个秘密来证明这个人就是他或她所声称的A。这个过程实际上涉及到3个重要的关于Authentication的方面: Secret如何表示。 A如何向B提供Secret。 B如何识别Secret。
kerberos 认证流程-理解
LINGX5的博客
08-31 816
域内的用户向 KDC(域控服务器)发送请求包,告诉域控,我要获得访问服务的票据。用户名,主机名,认证因子 Authenticator(由客户端用户 hash 加密的时间戳等信息),其他信息。
Kerberos安全认证过程
Alecor的博客
08-04 1030
1 Kerberos Kerberos是诞生于上个世纪90年代的计算机认证协议,被广泛应用于各大操作系统和Hadoop生态系统中。了解Kerberos认证流程将有助于解决Hadoop集群中的安全配置过程中的问题。 2 Kerberos可以用来做什么 简单地说,Kerberos提供了一种单点登录(SSO)的方法。考虑这样一个场景,在一个网络中有不同的服务器,比如,打印服务器、邮件服务器和文件服务器。这些服务器都有认证的需求。很自然的,不可能让每个服务器自己实现一套认证系统,而是提供一个中心认证服务器(AS-
详细讲解kerberos认证过程、黄金、白银票据
qq_63217130的博客
08-18 3130
当TGS接收到请求之后,会检查自身是否存在客户端请求的服务,如果存在就会拿ktbtgt hash解密TGT(由于TGS是在DC上的,所有具有krbtgt的hash),解密到的信息中包含了login session key,别忘了客户端发过来的时间戳就是利用login session key加密的,此时就可以用其解密获取到时间戳了,然后验证时间戳。只要在TGT过期之前,可以直接请求TGS申请服务票据,而不用在每次访问服务的时候都向AS请求TGT,减少了与AS的通信,提高了系统的性能和效率。
Kerberos认证流程
atarik@163.com
02-29 2704
第一步,账号A和KDC互相认证。 1、账号A利用哈希函数将密码转化成一把密钥,这里称它为Key-Client。 2、利用Key-Client将当前的时间戳加密,生成一个字符串。表示为“{时间戳} Key-Client”。 3、将上一步生成的字符串“{时间戳} Key-Client”、账号A的信息以及一段随机字符串发给KDC。这样就组成了Kerberos的身份认证请求AS-REQ,可以使用下面...
kerberos认证流程
雾饮的博客
09-29 488
① 请求KDC认证中心,使用客户端密钥加密客户端信息 ② KDC返回两个数据包给client 包1 - 使用client密钥加密会话密钥 包2 - 使用server密钥加密client相关信息以及会话密钥 ③ client请求服务端,附带两个数据包 包3 - 客户端对KDC返回的第一个数据包解密,得到会话密钥,用会话密钥加密自身信息和时间戳 包2 除此之外存在一个标识,表示是否需要进行双向验证(Mutual Authentication) ④ se...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值