01: kerberos认证原理

最新推荐文章于 2022-02-10 08:00:00 发布
最新推荐文章于 2022-02-10 08:00:00 发布
阅读量286 收藏 2
点赞数
原文链接:http://www.cnblogs.com/xiaonq/p/10598280.html
版权

1.1 kerberos认证浅析

  1、kerberos定义

      1. Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。

      2. Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。

      3. Kerberos也能达到单点登录的效果,即当Client通过了Kerberos server的认证后,便可以访问多个Real Server。

  2、kerberos几个重要组件

      1. KDC:负责分发密钥的密钥分配中心

      2. Client:需要使用kerbores服务的客户端

      3. Service:提供具体服务的服务端

  3、kerberos中几个重要概念

      1. Client master key: KDC中存储的Client的密钥

      2. Server master key: KDC中存储的Server的密钥

      3. Sclient-Server:Client与Server之间的会话密钥

      4. Client Info:记录了Client本身的Ip等基本信息

  4、kerberos认证交互过程

    1)client从KDC获取Sclient-Server

        1. 用client公钥加密Sclient-Server发送给client【Sclient-Server + Client-master-key(加密)】

        2. 用server公钥加密Sclient-Server+ ClientInfo发送给client【Sclient-Server + ClientInfo + Server-master-key(加密)】

    2)client用Sclient-Server加密发送数据

        1. Client用自己的mClient-master-key解密KDC传过来的第一个包获得会话密钥Sclient-Server

        2. 并用Sclient-Server加密自己的的信息和时间戳打包后传送给Server,此时Client开始和Server交互

    3)server用私钥获取Sclient-Server,并用Sclient-Server解密client信息

        1. Server会收到两个数据包,一个用会话密钥(Sclient-Server)加密,一个用自己的(Server-master-key)加密。

        2. Server先用自己的Server-master-key解密获取会话密钥(Sclient-Server)和一份关于Client的信息。

        3. 然后Server拿到解密后获取到的会话密钥(Sclient-Server)再解开另外一个数据包,获得另一份关于Client的信息和时间戳。

  5、kerberos认证图解

      

  6、kerberos细节

    1)上面有个数据包是KDC经Client转发给Server的,为什么不直接发给Server?

        1. 因为Server可能给多个Client提供服务,这样Server需要维护一个Client和会话密钥的对应表,这对Server是一个负担。

    2)为什么要发两份关于Client的信息给Server?

        1. 通过这两份数据的对比,Server就能判断出是不是对的Client在访问服务。

    3)Client是如何判断自己在访问对的Server呢?

      1. 因为Client给Server的一个数据包是用Server的master key来加密的所以只有对的Server才能解密。

    4)为什么要用会话密钥

        1. 通信方的master key是长期有效的,如果在网络上传输,一旦被截取,理论上来说只要有足够的时间是可以破解的。

        2. 所以我们才用临时的会话密钥来通信,一段时间后会话密钥会过期,同时时间戳也防止了,恶意用户重复使用同一个数据包。

    5)为什么要用时间戳?

        1. 如果Client向Server传送的数据包被其他的Client截取,然后自己拿来向Server请求服务这,这样就会出问题

        2. Server收到请求后将从解密后的数据包中获得的时间戳和当前时间对比,一旦超过一定范围将直接拒绝请求

 1.2 kerberos常用命令

  https://www.cnblogs.com/chwilliam85/p/9679845.html

  https://www.cnblogs.com/kisf/p/7494203.html

 

 

 

 

1111111111111111111111111111

转载于:https://www.cnblogs.com/xiaonq/p/10598280.html

weixin_30456039
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kerberos 票据_域渗透之黄金票据的实际利用
weixin_39861905的博客
12-25 474
先介绍下Kerberos协议:Kerberos是一种由MIT(麻省理工大学)提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。在Kerberos协议中主要是有三个角色的存在:1:访问服务的Client(用户的机器客户端)2:提供服务的Server(服务端)3:KDC(Key Distribution Center)密钥分发中心其中KDC服务默认会安装在一...
Kerberos原理
07-04
服务服务器验证服务票据的有效性,确认用户已通过Kerberos认证,然后使用票据中的会话密钥与用户建立安全连接。 Kerberos协议通过以下步骤完成认证过程: 1. **身份验证**:用户向AS发送请求,包含用户名和加密的...
Kerberos认证原理简介
weixin_30352191的博客
10-16 344
1.1 What is Kerberos 1.1.1 简单介绍  Kerberos是一个用于鉴定身份(authentication)的协议, 它采取对称密钥加密(symmetric-key cryptography),这意味着密钥不会在网络上传输。在Kerberos中,未加密的密码(unencrypted password)不会在网络上传输,因此攻击者无法通过嗅探网络来偷取用户的密码。   K...
Kerberos认证原理
Aspirin's Nest
11-06 616
参考博文 官方文档 参考博文2 前言 本文是在参考了两篇博文和官方文档基础上写成的,更多的是想通过自己学完复述一遍的方式加深理解。 Kerberos在希腊神话中是守护地狱之门的三头犬。在使用Kerberos中涉及到KDC(有些资料可能会叫做AS,即认证服务器)、客户端、服务器三方的身份认证问题,因此用Kerberos来进行命名还是十分贴切的。 概念学习 在开始正式的Kerberos学习之前,我们需...
Kerberos安全认证原理
weixin_38569499的博客
04-07 1800
目录 1、Kerberos是什么 2、主要角色 3、基本概念 4、认证过程 4.1 初始验证 4.2获取服务票据 4.3服务验证 5、环境假设 6、局限性 7、相关命令 参考文档: 协议:协议 主要命令:主要命令 1、Kerberos是什么 Kerberos是一种一种网络身份验证协议,只包括验证环节,不负责授权。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。 用户只需输入一次身份验证信息,就可凭借此验证获得的票据授予票据(ticke...
Kerberos:网络认证协议--网络大典
Javvin的专栏
04-01 1379
    Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。  认
kerberos安全认证
12-29
配置`oozie.service.HadoopAccessorService.kerberos.enabled=true`启用Kerberos认证。 - **MapReduce (MR)**: MR作业可以通过Kerberos进行认证,确保作业执行和数据访问的安全。在Hadoop配置中设置`mapreduce.job....
hadoop快速集成kerberos认证
最新发布
01-13
Hadoop作为一个分布式计算框架,为了保障数据的安全性,常常需要集成Kerberos认证系统。Kerberos是一种网络认证协议,它提供了强大的身份验证服务,确保只有授权的用户和服务可以访问资源。本压缩包文件包含了实现...
java实现flink订阅Kerberos认证的Kafka消息示例源码
04-16
在Java中实现Flink订阅Kerberos认证的Kafka消息是一项关键任务,特别是在处理安全敏感的数据流时。本文将深入探讨这一主题,介绍如何利用Apache Flink与Kafka的集成,以及如何通过Kerberos进行身份验证。 首先,...
kerberos安全认证demo
11-09
启用Kerberos后,Oozie会要求所有作业提交者进行Kerberos认证,以确保作业执行的安全性。配置包括设置`oozie.service.HadoopAccessorService.kerberos.name.rules`和`oozie.service.KerberosAuthenticationHandler....
Kerberos网络认证协议的理解
penriver的博客
07-01 1780
1. Kerberos 1.1. 概念 Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。 1.2. 组成 Kerberos的世界包含三个实体,其中KDC包含两个服务器(AS,
kerberos认证原理
weixin_45007073的博客
04-16 1129
kerberos认证原理Windows密码存储形式什么是NTLMNTLM(NT LAN Manager) hash本地认证流程挑战(Challenge)/响应(Response)NTLM挑战/响应验证机制NTLM协议版本区别Pass The Hash及必要条件Kerberos所参与的角色什么是KDC域认证流程Kerberos认证体系域认证流程 Windows密码存储形式 了解kerberos协议前我们得先了解Windows系统的密码是保存在%SystemRoot%\system32\config\sam这
详解kerberos认证原理
大数据星球-浪尖
02-10 7088
前言Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全,kerberos侧重于通信前双方身份的认定工作,帮助客户端和服务端解决“...
【转】谈谈基于Kerberos的Windows Network Authentication
cheran的专栏
12-13 1107
http://www.cnblogs.com/artech/archive/2007/07/07/809545.html Content: 基本原理 引入Key Distribution: KServer-Client从何而来 引入Authenticator : 为有效的证明自己提供证据 引入Ticket Granting  Service:如何获得Ticket Kerbe
通过java访问带有kerbores认证的impala,hive
weixin_42656794的博客
12-06 1048
因为公司需求要开发一个数据质量监控的组件,需要连接集群上的hive,impala。 1集群采用了kerbores认证,报了第一个错误 这是由于没有配置kerbores 2参考了网上的一块代码,连接带有认证的hbase的代码 System.setProperty(“java.security.krb5.conf”,“E:\learning\aaaa.keytab”); HiveConf conf...
单点登录(SSO)的核心--kerberos身份认证协议技术参考
God is Coder
02-24 5387
微软Windows Server 2003操作系统实现Kerberos 版本5的身份认证协议。Windows Server 2003同时也实现了公钥身份认证的扩展。Kerberos身份验证的客户端实现为一个SSP(security support provider),能够通过SSPI(Security Support Provider Interface)进行访问。最初的用户身份验证是跟W
hadoop2.7.2开启kerberos认证
xiao90713的博客
07-13 3712
环境介绍: 一共三台机器: hadoop11: 192.168.230.11 namenode 、kerberos client hadoop12: 192.168.230.12 datanode 、kerberos client hadoop13: 192.168.230.13 datanode 、kerberos server(KDC) 保证安装kerberos 之前能正常开启hadoop集群(已安装集群) 一、介绍安装kerberos服务器 1、在hadoop13安装kerberos se
Hibernate 实体bean(持久化类)为什么要实现(implements)Serializable
huali_cc的专栏
02-01 650
深入浅出Hibernate中说,实现了Serializable接口序列化意味着未命名可以在HttpSession中保存对象,或者将其通过RMI传输。 具体怎么理解呢?   比如说,我一个实体bean放在session中后,然后把服务器重启动,或关闭后再打开,实现序列接口的对象会硬盘中取回来,重新装载进内存,提高效率,而不实现序列化的类是不能的。如果实现序列化接口后,它内部是会调用
kerberos认证的步骤,学习笔记
weixin_34128411的博客
12-26 668
1.KDC,uname,upwd -x算法=>authticator 暗号 2.KDC ->uname,pwd->x1算法->解密authticator 确认客户端身份->生成登录会话秘钥login key 3.KDC发送两部分内容 1.KDC key加密的(userinfo用户信息,loging key)就是TGT,TGT的中文意思相当于认购权证 ,2.up...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值