Kerberos认证--图解

最新推荐文章于 2024-05-15 04:12:37 发布
最新推荐文章于 2024-05-15 04:12:37 发布
阅读量931 收藏 2
点赞数
分类专栏: Hadoop 文章标签: 大数据 kerberos 加密解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46480020/article/details/121468380
版权

kerboros认证
在这里插入图片描述
下面是最详尽的解释:可以参考一下

The basic Kerberos authentication process proceeds as follows: A client sends a request to the authentication server (AS) for “credentials” for a given server. The AS responds with these credentials, encrypted in the client’s key. The credentials consist of a “ticket” for the server and a temporary encryption key (often called a “session key”). The client transmits the ticket (which contains the client’s identity and a copy of the session key, all encrypted in the server’s key) to the server. The session key (now shared by the client and server) is used to authenticate the client and may optionally be used to authenticate the server. It may also be used to encrypt further communication between the two parties or to exchange a separate sub-session key to be used to encrypt further communication. Note that many applications use Kerberos’ functions only upon the initiation of a stream-based network connection. Unless an application performs encryption or integrity protection for the data stream, the identity verification applies only to the initiation of the connection, and it does not guarantee that subsequent messages on the connection originate from the same principal.
Implementation of the basic protocol consists of one or more authentication servers running on physically secure hosts. The authentication servers maintain a database of principals (i.e., users and servers) and their secret keys. Code libraries provide encryption and implement the Kerberos protocol. In order to add authentication to its transactions, a typical network application adds calls to the Kerberos library directly or through the Generic Security Services Application Programming Interface (GSS-API) described in a separate document [RFC4121]. These calls result in the transmission of the messages necessary to achieve authentication. The Kerberos protocol consists of several sub-protocols (or exchanges). There are two basic methods by which a client can ask a Kerberos server for credentials. In the first approach, the client sends a cleartext request for a ticket for the desired server to the AS. The reply is sent encrypted in the client’s secret key. Usually this request is for a ticket-granting ticket (TGT), which can later be used with the ticket-granting server (TGS). In the second method, the client sends a request to the TGS. The client uses the TGT to authenticate itself to the TGS in the same manner as if it were contacting any other application server that requires Kerberos authentication. The reply is encrypted in the session key from the TGT. Though the protocol specification describes the AS and the TGS as separate servers, in practice they are implemented as different protocol entry points within a single Kerberos server.

Once obtained, credentials may be used to verify the identity of the principals in a transaction, to ensure the integrity of messages exchanged between them, or to preserve privacy of the messages. The application is free to choose whatever protection may be necessary.
To verify the identities of the principals in a transaction, the client transmits the ticket to the application server. Because the ticket is sent “in the clear” (parts of it are encrypted, but this encryption doesn’t thwart replay) and might be intercepted and reused by an attacker, additional information is sent to prove that the message originated with the principal to whom the ticket was issued. This information (called the authenticator) is encrypted in the session key and includes a timestamp. The timestamp proves that the message was recently generated and is not a replay. Encrypting the authenticator in the session key proves that it was generated by a party possessing the session key. Since no one except the requesting principal and the server know the session key (it is never sent over the network in the clear), this guarantees the identity of the client.
The integrity of the messages exchanged between principals can also be guaranteed by using the session key (passed in the ticket and contained in the credentials). This approach provides detection of both replay attacks and message stream modification attacks. It is accomplished by generating and transmitting a collision-proof checksum (elsewhere called a hash or digest function) of the client’s message, keyed with the session key. Privacy and integrity of the messages exchanged between principals can be secured by encrypting the data to be passed by using the session key contained in the ticket or the sub-session key found in the authenticator.

努努&威朗普
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kerberos认证原理详解
marylgao技术专栏
09-30 3871
//TODO https://baike.baidu.com/item/Kerberos/5561682?fr=aladdin https://web.mit.edu/kerberos/krb5-latest/doc/user/index.html https://blog.csdn.net/sky_jiangcheng/article/details/81070240
Kerberos 学习(二) 认证过程
prettyX的博客
12-04 636
今天来研究Kerberos协议的认证过程。 : ) Kerberos协议认证过程 1、当Client想要访问Server上的某个服务时,认证流程分为3个部分: Client 与 AS 的交互 Client 与 TGS 的交互 Client 与 Server 的交互 2、认证流程: (1)Client 与 AS 的交互: KRB_AS_REQ Client->AS: 第...
kerberos认证_一文搞定Kerberos
weixin_39568133的博客
12-03 512
Kerberos 是一种身份认证协议,被广泛运用在大数据生态中,甚至可以说是大数据身份认证的事实标准。本文将详细说明 Kerberos 原理。PS: 这是 Introduction To Kerberos 的文字版,感兴趣的小伙伴可以直接下载pdf。一、关于 Kerberos 的典型问题Kerberos 是什么?Kerberos 具体原理是什么?为什么 Kerberos 是一种成熟可靠的身份认证协...
Kerberos认证原理(原创图解+详解)
Ciyaso的博客
10-26 7675
一、 Kerberos Authentication Kerberos Authentication 解决的是“如何证明某个用户确确实实就是其所声称的那个用户”的问题。 Kerberos Authentication的整个过程涉及到Client和Server,他们之间传递证明需要使用一个Key(KServer-Client)来表示。Client为了让Server对自己进行有效的认证,向对方提供如下两组信息: ①代表Client自身Identity的信息,为了简便,它以明文的形式传递。 ②将Client的Id
2024年最全kerberos认证原理---讲的非常细致,易懂(1),2024年最新Golang开发还会吃香吗
最新发布
2401_84910848的博客
05-15 1067
同时需要注意的是SKDC-Client是一个Session Key,他具有自己的生命周期,同时TGT和Session相互关联,当Session Key过期,TGT也就宣告失效,此后Client不得不重新向KDC申请新的TGT,KDC将会生成一个不同Session Key和与之关联的TGT。通过上面的过程,Client实际上获得了两组信息:一个通过自己Master Key加密的Session Key,另一个被Sever的Master Key加密的数据包,包含Session Key和关于自己的一些确认信息。
详细讲解kerberos认证全过程、黄金、白银票据
qq_63217130的博客
08-18 2481
当TGS接收到请求之后,会检查自身是否存在客户端请求的服务,如果存在就会拿ktbtgt hash解密TGT(由于TGS是在DC上的,所有具有krbtgt的hash),解密到的信息中包含了login session key,别忘了客户端发过来的时间戳就是利用login session key加密的,此时就可以用其解密获取到时间戳了,然后验证时间戳。只要在TGT过期之前,可以直接请求TGS申请服务票据,而不用在每次访问服务的时候都向AS请求TGT,减少了与AS的通信,提高了系统的性能和效率。
Keberos认证过程
banana1006034246的博客
04-04 1342
Kerberos(/ˈkərbərəs/)是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。适用于客户服务模式。解决”某某声称自己是某某“的认证问题。它的模块包括: AS(Authentication Server)= 认证服务器 KDC(Key Distribution Center)= 密钥分发中心(含所有信任客户端的密码) TGT(Ticket Gran...
Kerberos认证原理与使用教程
m0_46168848的博客
02-21 7459
Kerberos认证原理与使用教程
KerberosPrinciple-Chinese:Kerberos原理--经典对话 中文版
05-01
Kerberos原理--经典对话 中文版最近在学习Kerberos原理,无意间发现了,好家伙全是英文,果断网上寻找中文版。但网上的翻译水平实在不敢恭维,很多都是机翻,读都读不通,这个我觉得还好。让我要命的是,连最基本的...
GnoKart Kerberos Utility-开源
05-03
Kerberos协议的核心在于通过一个可信的第三方——Kerberos认证服务器(KDC),来验证用户和服务的身份,从而防止中间人攻击和其他形式的身份冒用。GnoKart Kerberos Utility就是这个协议在Linux和Unix环境下的一个...
Kerberos AutoLogin-crx插件
04-03
自动将您注销到Bu Kerberos。 **将密码存储在本地存储中的明文中,这意味着有权访问您的计算机可以恢复密码。** 厌倦了输入您的密码进入学生链接? 此脚本会自动将您注销Bu Kerberos受保护的页面。 保存您的密码一...
Kerberos Poppassd-开源
04-24
Kerberos Poppassd是基于Pawel Krawczyk的poppassd版本1.8的密码更改守护程序。 该守护程序的工作原理与原始poppassd完全相同。 唯一的区别是此poppassd更改了用户的Kerberos 5密码。
spring-security-kerberos
05-13
样本可以在spring-security-kerberos-samples 。 有关更多信息,请查阅参考文档。 从源头建造 Spring Security Kerberos使用基于的构建系统。 在下面的说明中,。/ 是从源树的根调用的,并用作构建的跨平台,自包含...
Kerberos认证流程及基本操作
qq_45329047的博客
03-23 3299
Kerberos主要是有三个重要的角色:1、访问服务的Client2、提供服务的Server3、KDC(Key Distribution Center)密钥分发中心,其中报错AS(authorization server)和TGS(ticket granting server)上图 AD其实类似于一个本机的一个数据库,存储所有client的白名单。
Windows域认证Kerberos认证图解
Howell_0626的博客
06-30 2481
Windows域认证Kerberos认证图解
详解kerberos认证原理
大数据星球-浪尖
02-10 7108
前言Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全,kerberos侧重于通信前双方身份的认定工作,帮助客户端和服务端解决“...
为CDH 5.7集群添加Kerberos身份验证及Sentry权限控制
weixin_30340819的博客
10-17 789
转载请注明出处:http://www.cnblogs.com/xiaodf/ 4. 为CDH 5集群添加Kerberos身份验证 4.1 安装sentry1、点击“操作”,“添加服务”;2、选择sentry,并“继续”; 3、选择一组依赖关系 4、确认新服务的主机分配 5、配置存储数据库;  在mysql中创建对应用户和数据库: mysql>create database...
hadoop 添加kerberos认证
hua840812的专栏
03-21 3989
参考Cloudera官方文档:Configuring Hadoop Security in CDH3 一、部署无kerberos认证的Hadoop环境 参考另一篇笔记:hadoop集群部署 或者按照Cloudera的官方文档:CDH3 Installation Guide. 二、环境说明 1、主机名 之前部署hadoop集群时,没有使
windows身份认证机制(kerberos
ryanzzzzz的博客
08-23 787
(1)本地认证:用户在设备本地登录windows,通过NTLM协议(NT LAN Manager,一种问询/应答身份验证协议),系统将用户输入的口令计算成NTLM hash,然后与SAM(Security Account Management)数据库中该用户的口令Hash值比对进行身份认证。在第一次交换中,声称者通过共享密钥从认证服务器获取到验证者的许可证票据(Ticket),他们之间的通信即通过之间的共享密钥保护。例如,windows 2000完全系统集成Kerberos V5、公钥证书和NTLM。
ipsec实验-kerberos认证
04-05
IPsec(Internet Protocol Security)是一种网络安全协议,用于在IP网络上提供数据的机密性、完整性和身份验证。而Kerberos是一种网络认证协议,用于验证用户和服务器之间的身份。 在进行IPsec实验时,可以结合Kerberos认证来实现更强的安全性。以下是一个简单的IPsec实验- Kerberos认证的步骤: 1. 配置Kerberos服务器:首先,需要设置一个Kerberos服务器,该服务器将负责用户和服务器之间的身份验证。配置Kerberos服务器包括创建Kerberos数据库、设置主要的Kerberos服务器和Kerberos客户端等。 2. 配置IPsec隧道:接下来,需要配置IPsec隧道以保护通信数据的机密性和完整性。IPsec隧道可以通过加密和认证来保护数据包,确保数据在传输过程中不被篡改或窃取。 3. 配置IPsec与Kerberos集成:将IPsec与Kerberos集成,可以实现对IPsec隧道的身份验证。这样,在建立IPsec隧道时,将使用Kerberos提供的票据来验证通信双方的身份。 4. 进行实验测试:完成以上配置后,可以进行实验测试。测试时,可以尝试建立IPsec隧道,并观察是否成功进行了Kerberos认证。同时,还可以通过抓包工具来验证数据包是否被正确加密和认证
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值