Kerberos基础概念

于 2023-09-03 15:04:24 发布
阅读量143 收藏 1
点赞数
分类专栏: kerberos 文章标签: github kerberros
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wang2leee/article/details/132650519
版权

Kerberos基础概念

目录

1. 各自的英文定义及其中文翻译

  • Authenticator:A component used for identity verification in Kerberos.(身份验证器)
  • KDC:The Key Distribution Center, the core component of Kerberos responsible for authentication and authorization.(密钥分发中心)
  • TGS:Ticket Granting Service, a component responsible for issuing service tickets in Kerberos.(票据授权服务)
  • AS:Authentication Service, a component responsible for initial authentication requests and issuing TGTs in Kerberos.(认证服务)
  • KDC Server:The server running the KDC component, responsible for handling Kerberos authentication and ticket issuance tasks.(KDC服务器)
  • Realm:A namespace for a set of security principals in Kerberos.(安全凭据命名空间)
  • Principal:An identity in Kerberos, which can be a user, service, or host, etc.(Kerberos中的身份)
  • Keytab:A file that stores encrypted credentials (keys) for authentication in Kerberos.(存储加密凭据的文件)
  • Credential:A set of information that represents a user’s identity in Kerberos.(用户身份的一组信息)
  • Ticket:A certificate representing an authenticated user in Kerberos.(许可证)
  • Kadmin:The Kerberos administration server used for managing the Kerberos database.(Kerberos管理服务器)
  • TGT:Ticket Granting Ticket, a ticket in Kerberos that represents a user’s identity.(票据授权票据)
  • Server:A service or host that can be authenticated and authorized in Kerberos.(服务端)
  • Kerberos Client:A client that uses the Kerberos protocol for authentication.(Kerberos客户端)
  • KDC Admin Account:An administrative account used for managing the Kerberos database.(KDC管理员帐户)

2. 各自用法及其多个示例

  • Authenticator:

    • 用法:Authenticator用于身份验证,并生成Ticket。
    • 示例:
      • 用户进行身份验证并生成Authenticator:kinit user@EXAMPLE.COM
      • 使用Authenticator进行服务访问:kvno service/host@EXAMPLE.COM

  • KDC:

    • 用法:KDC是Kerberos的核心组件,负责身份认证和票据颁发。
    • 示例:KDC处理客户端的身份验证请求,并为通过验证的用户颁发票据以便访问受保护资源。

  • TGS:

    • 用法:TGS负责颁发服务票据,授权用户访问特定服务。
    • 示例:用户在获取TGT后,使用TGT向TGS请求服务票据以访问特定服务。

  • AS:

    • 用法:AS负责处理初始身份验证请求,并颁发TGT。
    • 示例:用户进行初始身份验证时,与AS通信以获取TGT。

  • KDC Server:

    • 用法:KDC Server指运行KDC组件的服务器,负责处理Kerberos的身份验证和票据颁发等任务。
    • 示例:部署KDC组件并配置网络设置。

  • Realm:

    • 用法:Realm用于标识身份域,用于区分不同的Kerberos实体。
    • 示例:
      • EXAMPLE.COM作为一个Realm。
      • MYREALM.NET作为另一个Realm。

  • Principal:

    • 用法:Principal用于表示在Kerberos中的身份,可以是用户、服务或主机等。
    • 示例:
      • user@EXAMPLE.COM作为一个Principal。
      • service/host@MYREALM.NET作为另一个Principal。

  • Keytab:

    • 用法:Keytab用于存储加密凭据,供服务端进行身份认证。
    • 示例:
      • 使用kadmin命令生成Keytab文件:kadmin -q "ktadd -k keytabfile principal"
      • 生成名为service.keytab的Keytab文件:kadmin -q "ktadd -k service.keytab service/host@EXAMPLE.COM"

  • Credential:

    • 用法:Credential是Kerberos中表示用户身份的一种凭据,包含了TGT和相关信息。
    • 示例:
      • 当用户通过身份验证后,生成一个Credential:kinit user@EXAMPLE.COM
      • 使用Credential访问受保护资源:klist

  • Ticket:

    • 用法:Ticket是已通过身份验证的用户的许可证,用于访问受保护的资源。
    • 示例:
      • 用户通过身份验证后,获得一个Ticket:kinit user@EXAMPLE.COM
      • 使用Ticket访问受限资源:klist

  • Kadmin:

    • 用法:Kadmin用于管理Kerberos数据库和执行管理操作。
    • 示例:
      • 创建Principal:kadmin -q "addprinc user@EXAMPLE.COM"
      • 生成Keytab文件:kadmin -q "ktadd -k keytabfile principal"

  • TGT:

    • 用法:TGT是用于获取其他服务票据的票据。
    • 示例:用户通过身份验证后,获得一个TGT,用于获取其他受保护资源的许可证。

  • Server:

    • 用法:Server是可以在Kerberos中进行身份验证和授权的服务或主机。
    • 示例:配置服务使用Kerberos协议进行身份验证并授权访问。

  • Kerberos Client:

    • 用法:Kerberos Client指使用Kerberos协议进行身份验证的客户端,可以是用户或服务。
    • 示例:配置客户端以支持Kerberos协议,并使用Kerberos客户端与KDC进行身份验证。

  • KDC Admin Account:

    • 用法:KDC Admin Account指用于管理Kerberos数据库和执行管理操作的管理员帐户。
    • 示例:使用KDC Admin Account登录到Kadmin管理界面,执行各种管理操作。

3. 主要区别

  • Authenticator用于身份验证,并生成Ticket;KDC是负责认证和授权的核心组件;TGS负责颁发服务票据;AS负责处理初始身份验证请求并颁发TGT。
  • KDC Server是运行KDC组件的服务器;Realm是安全凭据的命名空间;Principal是Kerberos中的身份;Keytab是存储加密凭据的文件;Credential是表示用户身份的一组信息;Ticket是已通过身份验证的用户的许可证;Kadmin是用于管理Kerberos数据库和执行管理操作的服务器;TGT是用于获取其他服务票据的票据。
  • Server是可以在Kerberos中进行身份验证和授权的服务或主机;Kerberos Client是使用Kerberos协议进行身份验证的客户端;KDC Admin Account是用于管理Kerberos数据库和执行管理操作的管理员帐户。
BigDataMLApplication
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Kerberos命令使用
zc0565的博客
11-07 1896
登录到管理员账号 如果在本机上,可以通过kadmin.local直接登录 kadmin.local 在其他机器上进行管理员账号的登录 # 方法一: kinit admin/admin kadmin # 方法二: kadmin -p admin/admin 进入Kadmin模式操作 登录了管理员账号后,会进入Kadmin模式下操作 使用?可以列出所有的命令 账号的增删改查 增加账号...
kerberos基本操作
xiajinqian的博客
02-08 2529
kerberos基本操作 kerberos创建用户 kerberos查询 生产keytab文件
Ranger学习——基础概念
02-23
大数据最基本就是数据以及用于计算的资源,需要将相应的数据和资源开放给对应的用户使用,以防被窃取、被破坏造成损失,这个就涉及大数据安全。主流的大数据安全组件Kerberos由于使用临时的用户验证机制不适用用户多的情况、Sentry只适用少部分的Hadoop生态组件应用场景少。ApacheRanger作为标准化的访问控制层,引入统一的权限模型与管理界面,极大地简化了数据权限的管理,统一的权限管理降低了学习成本,非常易于使用。ApacheRanger:一个用于在整个Hadoop平台上使用,用来监视和管理全面的数据安全性的框架。主要是提供一个集中式安全管理框架,并解决授权和审计问题。特点:集中式安全管
[Kerberos基础]-- kdc集群主从搭建(kerberos相关)
热门推荐
欢迎来到我的博客,一起探索代码里的世界!
03-02 1万+
主机规划 10.10.100.94   master 10.10.100.93   slave 10.10.100.92   client   (一)环境:  名称            版本         CentOS        CentOS release 6.7(Final)        Kerberos        krb5-server-1.10.3-57.e...
kerberoskerberos创建用户和keytab文件
最新发布
Mrerlou的博客
08-15 2174
将生成的keytab 文件放到 新建用户 user01 的家目录下。下面演示下如何创建一个kerberos 和 keytab 文件。user01 为用户名。111111 为密码。
Kerberos安装及使用3(Kerberos基本管理实践)
Siobhan_Mxin的博客
03-16 7005
使用kinit命令为管理员主体获取ticket 使用kadmin命令登录管理服务器 使用addprinc命令添加普通用户 使用listprincs查看主体列表 使用getprinc查看主体详情 使用delprinc命令删除主体 使用klist命令查看证书缓存 使用kdestroy命令销毁缓存
kerberos文档
Jeff_Dean的博客
04-06 1183
1 kadmin kadmin是Kerberos V5数据库管理程序 用法: kadmin [-O|-N] [-r realm] [-p principal] [-q query] [[-c cache_name]|[-k [-t keytab]]|-n] [-w password] [-s admin_server[:port]] [command args...] kadmin.lo...
Kerberos认证原理与使用教程
m0_46168848的博客
02-21 6711
Kerberos认证原理与使用教程
kadmin.local 批量添加及下载keytab
qq_31024251的博客
05-07 691
主脚本 add_princ-download_keytabs.sh #! /bin/bash base_dir=/etc/security/keytabs counter=1 while read host_name princ k_name user_name; do echo "$counter ==>> ${host_name} ${princ} ${k_name} ${user_name}" [ ! -d ${base_dir}/${host_name} ] &am
kerberos高可用部署
qq_20793353的博客
10-06 441
1.环境准备 system-OS:centos73 CDH version:5.11 cat /etc/hosts 192.168.11.181 deploy-1 192.168.11.182 deploy-2 192.168.11.183 deploy-3 主备节点使用keepalived虚IP漂移 vip:192.168.17.180 主节点:deploy-2 备节点:deploy-3 ...
Ranger学习—— 基础概念
01-26
大数据最基本就是数据以及用于计算的资源,需要将相应的数据和资源开放给对应的用户使用,以防被窃取、被破坏造成损失,这个就涉及大数据安全。 主流的大数据安全组件Kerberos由于使用临时的用户验证机制不适用...
小白快速掌握Hadoop集成Kerberos安全技术频教程
11-04
3,全程实操,边操作边讲解,不再只听概念。 适用人群 1、对大数据安全机制方面技术感兴趣的在校生及应届毕业生。 2、Hadoop从业者,希望进一步提升个人技能,拓展职业路线。 3、对大数据行业感兴趣的相关人员。 ...
concrete5-windows-single-signon-sso:一些初始的概念验证代码,用于通过LDAPActiveDirectoryKerberos从Windows机器实现具体的透明传递身份验证(SSO)5
05-19
一些初始的概念验证代码,用于通过LDAP / ActiveDirectory / Kerberos从Windows机器实现具体的透明传递身份验证(SSO)5 感谢ntisteve通过在以下站点上的Concrete5论坛发布了此代码: 实施须知 显然,使用这些...
操作系统安全:安全模块.pptx
06-02
1、基本概念 帐户策略 密码策略 帐户锁定策略 Kerberos策略 本地策略 审核策略 用户权限分配 安全选项 事件日志:应用程序、系统和安全的事件日志设置 系统服务:系统服务的启动和权限 注册表:注册表项的权限 文件...
创建keytab用户和对应的文件脚本
记录工作所遇问题及个人概念理解
10-11 800
使用:sh kdc.sh 用户名 #!/bin/bash # 本脚本目的是为了创建keytab用户和对应的文件 function create_user_principal(){ kadmin.local -q "addprinc -randkey $1" &>/dev/null } function create_keytab_file(){ kadmin.local -q "xst -norandkey -k $1.keytab $1" &>/dev/nul
Kafka安全认证:centos7上安装kerberos
welcome to daijiguo's blog
05-01 1154
文章目录1.kerberos概念介绍2. kerberos认证过程3. kerberos安装4. 创建 KDC 数据库5. 编辑 `kadm5.acl`6. 启动kdc和admin7. 添加principal8. 使用keytab登陆 1.kerberos概念介绍 principal:认证的主体,如kafka/[email protected],其中kafka是主体的用...
Kerberos的安装和常用命令
SimpleSimpleSimples的博客
01-26 5204
1.Kerberos 认证协议介绍 Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。使用 Kerberos 时,一个客户端需要经过三个步骤来获取服务: 认证:客户端向认证服务器发送一条报文,并获取一个含时间戳的 Ticket-Granting Ticket(TGT)。 授权:客户端使用 TGT 向 Ticket-Granting S...
大数据技术-Kerberos学习笔记
xiaoyixiao_的博客
03-02 3830
大数据技术-Kerberos学习笔记
Kerberos原理整理
游离在社会边缘
03-15 1727
一、什么是kerberos kerberos是一种网络身份验证协议。它设计的目的是使用对称密钥加密技术为客户端/服务器应用提供可靠的身份验证。 美国麻省理工学院提供了一种该协议的实现。kerberos已经在很多公司产品中应用。kerberos是美国麻省理工学院为了解决非安全 的网络环境中安全问题的解决方案。kerberos使用可靠的密钥使服务器能够验证客户端的身份,在不安全的网络环境中进行连接。 ...
Kerberos 代理实现Kerberos 切换
06-13
Kerberos 代理可以实现 Kerberos 切换,以便用户在访问不同的远程资源时可以使用不同的 Kerberos 凭证。Kerberos 切换通常涉及到以下几个步骤: 1. 用户使用 kinit 命令获取 Kerberos 凭证,并将其缓存在本地的 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

BigDataMLApplication

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值