mysql kerberos_Kerberos认证流程简述

最新推荐文章于 2023-06-25 16:26:56 发布
最新推荐文章于 2023-06-25 16:26:56 发布
阅读量387 收藏
点赞数
文章标签: mysql kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30923011/article/details/113908314
版权
本文介绍了Kerberos网络身份认证协议的流程,包括KDC、AS、TGS的角色及TGT、ticket、session key的概念。通过一个用户访问服务器服务的示例,详细解析了从AS-REQ到AP-REP的验证过程,强调了时间戳和NTLM HASH在安全性中的作用,同时提到了黄金票据和白银票据的概念。
摘要由CSDN通过智能技术生成

摸鱼了很长一段时间,被大佬按在地上摩擦,一时间精神恍惚想不起来写点啥,正好回来碰巧给别人讲kerberos协议认证流程,结果讲来讲去把自己讲晕了,就非常尴尬

c1f6167a65cba35e9aea66c6c6a4ecd6.png

于是有了这篇文章(友情提示:无事莫装X,装X遭人X),争取用我简单浅显而贫乏的词汇量,描述一下相关流程

0x01  认知

ca341289a593d983be57bb432759d0b3.png(1)

这是一个关于kerberos的经典图示,最简化地展示了kerberos的验证流程

kerberos是一种网络身份认证协议,设计目标是为了通过秘钥系统为C/S应用程序提供一种可靠的认证协议。它是双向验证的,即在保证客户端访问的服务端是安全可靠的情况下,也保证服务端回复的客户端也是安全可靠的。

想要证明访问与被访问的双方都是信得过的,必须要有一个第三方平台。在kerberos中就是图(1)中的KDC

按照图(1)介绍几个专有名词:

1.KDC (key distributed center ):用于票据生成管理服务,它包含AS与TGS

2.AS (authentication service):为客户端生成TGT

3.TGS(ticket granting service):为客户端生成某个服务的ticket

4.AD(account database):存储客户端白名单,只有位于白名单中的客户端才能申请TGT,就像SAM数据库一样

5.TGT(ticket granting ticket):用于获取ticket的一种票据

6.SK(session key):用户与域控的加密秘钥

7.client:想访问某个server的客户端

8.server:提供某种业务的服务

一般来说,kerberos是用于域环境中身份认证的

所以KDC一般会安装到域控之中。

从物理层面来看,AD 和 KDC都是“域控”

KDC当中有个krbtgt用户,在域控中net user会看到

ca5622dd96ec7b14cb4f7808cc8bba2c.png

krbtgt是个系统自建用户,不用于登录,发票据的时候会用到其NTML HASH

愿意继续看下去的,这里有个人认为详细一些的解释,不愿意看的请划到最后一小点

0x02 流程

逐一解释图(1)假设域内主机一个用户lcx想访问域内某服务器server中的某服务

圈1 (AS-REQ):client发送用户信息到KDC,向AS请求TGT票据

圈2(AS-REP):KDC收到请求,看看client是否在AD的白名单中,在的话,AS生成随机Session Key,并用用户的NTLM HASH对Session Key 加密得到密文A,再用krbtgt的NTLM HASH 对Session Key、客户端信息Client Info、客户端时间戳timestamp加密得到TGT,并将A 和 TGT一起返回客户端client

圈3(TGS-REQ):client收到请求,用自身的NTLM HASH 解密 密文A 得到Session Key,再用Session Key加密Client Info与timestamp 得到密文B , 把密文B 和 TGT一起发给KDC 给TGS

圈4(TGS-REP):TGS 用krbtgt的NTLM HASH 解密TGT ,得到Session Key和timestamp和Client Info。再用这个由TGT解密出来的Session Key解密密文B得到timestamp与Client Info。 两相对比是否一致。如果一致,TGS生成新的随机 Session Key,叫它Session Key2 吧,用它加密timestamp和Client Info得到密文Enc。再用服务端server的NTLM HASH对Session Key2和timestamp和Client Info加密得到ticket,返回给客户端client

圈5(AP-REQ):客户端client把ticket和Enc向服务端server发送,请求服务

圈6(AP-REP):服务端server用自己的NTLM HASH 对ticket进行解密得到Session Key2和timestamp和Client Info,再用解密出来的Session Key2解密密文Enc,得到timestamp和Client Info,进行信息校验,成功授权访问

大功告成

补充一些说明:时间戳timestamp的存在保证了密文在短时间内不可能被暴破;Client Info中存在很多信息包括客户端信息

由于krbtgt只存在于域控中KDC中,TGT要用krbtgt的NTLM HASH解密,即TGT只能由KDC解密

所以如果krbtgt的NTLM HASH泄露出去了,那谁拿到krbtgt的NTLM HASH,谁就充当KDC(指有奶便是娘),就可以伪造TGT,也就是权限维持里常说的黄金票据。。。。。。的原理,生成伪造黄金票据把票据一导入,体验一把生杀大权尽在手中的感觉。

另一方面ticket是服务账号用NTLM HASH加密得到的,如果这个服务账号的NTLM HASH泄露了(域控上抓的,新鲜的热乎的,计算机服务账号的NTLM HASH)谁拿到域控中计算机服务账号的NTLM HASH,谁就充当TGS(有奶便是娘*2),这就是权限维持中白银票据的原理。

0x03 比喻

知乎用户车小胖

随便转载,请标明作者出处

爱分析
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kerberos mysql配置_CDH安装之篇四:启用Kerberos认证
weixin_28941895的博客
02-17 290
启用Kerberos认证• 安装Kerberos• 安装配置master KDC/Kerberos Server注:Kerberos Server可以是任意一台Hadoop集群网络相同的主机1、安装KDC所需软件krb5-server、krb5-workstationyum install krb5-libs krb5-server krb5-workstati...
Kerberos简介
chenglinhust的专栏
06-14 1383
Kerberos简介
mysql kerberos_通过Kerberos认证访问Oracle 11g
weixin_33078391的博客
02-26 143
1.通过OUI配置Oracle数据库的高级安全选项和网络服务 2.配置kerberos认证 ①执行指令netmgr,点击认证标签,在Available Methods1.通过OUI配置Oracle数据库的高级安全选项和网络服务2.配置kerberos认证①执行指令netmgr,点击认证标签,在Available Methods, 选择KERBEROS5,移动到Selected Methods一列中...
Kerberos认证流程详解
热门推荐
jewes的专栏
03-08 5万+
Kerberos是诞生于上个世纪90年代的计算机认证协议,被广泛应用于各大操作系统和Hadoop生态系统中。了解Kerberos认证流程将有助于解决Hadoop集群中的安全配置过程中的问题。为此,本文根据最近阅读的一些材料,详细介绍Kerberos认证流程。欢迎斧正!
MySQL8认证插件——Kerberos Pluggable Authentication
最新发布
贺浦力特的博客
06-25 336
Kerberos可插拔身份验证是商业产品MySQL Enterprise Edition中包含的扩展。MySQL Enterprise Edition支持一种身份验证方法,该方法允许用户使用KerberosMySQL Server进行身份验证,前提是可以获得适当的Kerberos票证。此身份验证方法在MySQL 8.0.26及更高版本中可用,适用于Linux上的MySQL服务器和客户端。
kerberos.rar_Kerberos_kerberos Java_single_sso java
07-15
Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和...
JAAS.rar_Kerberos_jaas_ldap kerberos
09-14
它让你能够将一些标准的安全机制,例如Solaris NIS(网络信息服务)、Windows NT、LDAP(轻量目录存取协议),Kerberos等通过一种通用的,可配置的方式集成到系统中。本文首先向你介绍JAAS验证中的一些核心部分,...
Python confluent kafka客户端配置kerberos认证流程详解
01-19
其中第一种SASL/GSSAPI的认证就是kerberos认证,对于java来说有原生的支持,但是对于python来说配置稍微麻烦一些,下面说一下具体的配置过程,confluent kafka模块底层依赖于librdkafka,这是使用c编写的高性能的...
JAAS.rar_Action!_Jaas Kerber_jaas KERBEROS_kerberos Java_login.a
09-24
_Jaas_Kerber_jaas_KERBEROS_kerberos_Java_login.a"压缩包文件包含了关于如何在Java环境中使用JAAS实现Kerberos登录和委托的示例代码。Kerberos是一种广泛使用的网络身份验证协议,它提供了强大的安全性,通过一次...
kerberos_32位
08-16
最近在研究hive数据库,但是Windows环境下hive数据库登录需要kerberos认证,被kerberos的认真折磨了好几天,差不多把百度翻了个底朝天没找到实际价值,后来终于...Windows系统下,kerberos_32位安装包,供大家使用
kerberos认证过程,AD域认证
06-12
Authentication解决的是“如何证明某个人确确实实就是他或她所声称的那个人”的问题。对于如何进行Authentication,我们采用这样的方法:如果一个秘密(secret)仅仅存在于A和B,那么有个人对B声称自己就是A,B通过让A提供这个秘密来证明这个人就是他或她所声称的A。这个过程实际上涉及到3个重要的关于Authentication的方面: Secret如何表示。 A如何向B提供Secret。 B如何识别Secret。
kerberos 票据_域渗透之黄金票据的实际利用
weixin_39861905的博客
12-25 477
先介绍下Kerberos协议:Kerberos是一种由MIT(麻省理工大学)提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。在Kerberos协议中主要是有三个角色的存在:1:访问服务的Client(用户的机器客户端)2:提供服务的Server(服务端)3:KDC(Key Distribution Center)密钥分发中心其中KDC服务默认会安装在一...
mysql kerberos_Kerberos学习(一)
weixin_39560207的博客
02-01 343
Kerberos古已有之,是由MIT开发,对三方进行验证鉴权的服务安全管理系统,很好的体现了西方三权分立的思想。名字来源于希腊神话地狱三个脑袋的看门狗,这只狗在哈利波特中也路过脸。对,跳吧,跳进坑里去吧。一入K坑深似海,从此作者不早起。系统设计上采⽤用客户端/服务器器结构与DES加密技术,并且能够进⾏行行相互认证,即客户端和服务器器端均可对对⽅方进⾏行行身份认证。可以⽤用于防⽌止窃听、防⽌止rep...
kerberos认证过程
https://www.cnblogs.com/zpchcbd/
09-14 755
KDC(Key Distribution Center): 密钥分发中心,里面包含两个服务:AS和TGS AS(Authentication Server): 身份认证服务 TGS(Ticket Granting Server): 票据授予服务 TGT(Ticket Granting Ticket): 由身份认证服务授予的票据,用于身份认证,存储在内存,默认有效期为10小时 Pass The ...
kerberoskerberos 认证浅析
九师兄
06-28 2314
转载并且补充:Kerberos认证浅析在希腊神话中Kerberos是守护地狱之门的一条凶猛的三头神犬,而本文介绍的Kerberos认证协议是由美国麻省理工学院(MIT)首先提出并实现的。Kerberos认证是一个三路处理过程,依赖称为密钥分发中心(KDC)的第三方服务来验证计算机相互的身份,并建立密钥以保证计算机间安全连接。本质上每台计算机分享KDC一个秘钥,而KDC有两个部件:一个Kerberos 认证服务器和一个票据授权服务器。如果KDC不知道被请求目标服务器,则会求助于另一个KDC来完成认证。它允许在
Kerberos 原理简述
Jian Sun_的博客
03-14 1281
Kerberos 是非常出名的密钥分配协议,同时也兼具了鉴别协议的功能,也是一个 KDC(Key Distribution Center,密钥分配中心)。Kerberos 采用 AES 进行加密,所以安全性更高。 Kerberos 的工作原理 其核心思想是这样的:和我们平时生活一样,当我需要到社区中心盖一些章的时候,社区中心往往需要你提供一个证明,证明你是你,这样的证明通常你需要找派出所去开具。所以这个 AS 就像是派出所,而 TGS 就像是社区中心。 具体流程 1. Client 向 ...
kerberos认证过程
qq_45510720的博客
07-09 2435
为什么需要kerberoskerberos目的是认证,既然认证就是辨别身份,那我输入用户名密码不就好了,为何要有Kerberos这样一个复杂的东西;举例来说,有A,B,C三个服务器,分别提供不同的服务,user要访问ABC都需要输入用户名密码,但是ABC没必要都存一份user的密码,所以就衍生出一个中央服务器D来专门存储用户名密码;如果user通过了D的认证,那就是合法的身份,就可以使用ABC任何一个服务,所以user需要告诉ABC它通过了D的认证。如何证明这个事情,以及信息在网络传输过程如何防止被截获
CDH_Hadoop5.8 Kerberos快速认证指南
"CDH_Hadoop5.8使用Kerberos进行认证的简易指南" Kerberos是一种强大的网络认证系统,广泛应用于确保企业级Hadoop集群的安全性。在CDH(Cloudera Distribution Including Apache Hadoop)5.8版本中,Kerberos提供了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值