kerberos认证_一文搞定Kerberos

最新推荐文章于 2024-07-29 11:33:03 发布
最新推荐文章于 2024-07-29 11:33:03 发布
阅读量569 收藏 2
点赞数
文章标签: kerberos认证 kerberos认证原理

Kerberos 是一种身份认证协议,被广泛运用在大数据生态中,甚至可以说是大数据身份认证的事实标准。本文将详细说明 Kerberos 原理。

PS: 这是 Introduction To Kerberos 的文字版,感兴趣的小伙伴可以直接下载pdf。

一、关于 Kerberos 的典型问题

  1. Kerberos 是什么?
  2. Kerberos 具体原理是什么?
  3. 为什么 Kerberos 是一种成熟可靠的身份认证协议?
  4. ...

二、Kerberos 是什么?

Kerberos 一词来源于古希腊神话中的 Cerberus —— 守护地狱之门的三头犬。下图是 Kerberos 的 LOGO:

08f5aadb1270dd1b9344916047045bd1.png

一句话来说,Kerberos 是一种基于加密 Ticket 的身份认证协议。Kerberos 主要由三个部分组成:Key Distribution Center (即KDC)、Client 和 Service。 大致关系如下图所示:

d07c708e86dc09d65a90cac95c390e86.png

客户端会先访问两次KDC,然后再访问目标Service,如:HTTP服务。

三、Kerberos 基本概念

3.1 基本概念

  • Principal:大致可以认为是 Kerberos 世界的用户名,用于标识身份。principal 主要由三部分构成:primary,instance(可选) 和 realm。包含 instance 的principal,一般会作为server端的principal,如:NameNode,HiverServer2,Presto Coordinator等;不含有 instance 的principal,一般会作为 客户端的principal,用于身份认证。例子如下图所示:

681d85337c7f073557383d7fabb5f5bf.png
  • Keytab:"密码本"。包含了多个 principal 与密码的文件,用户可以利用该文件进行身份认证。
  • Ticket Cache:客户端与 KDC 交互完成后,包含身份认证信息的文件,短期有效,需要不断renew。
  • Realm:Kerberos 系统中的一个namespace。不同 Kerberos 环境,可以通过 realm 进行区分。

3.2 KDC

Key Distribution Center(即 KDC), 是 Kerberos 的核心组件,主要由三个部分组成:

  • Kerberos Database: 包含了一个 Realm 中所有的 principal、密码与其他信息。(默认:Berkeley DB)
  • Authentication Service(AS): 进行用户信息认证,为客户端提供 Ticket Granting Tickets(TGT)。
  • Ticket Granting Service(TGS): 验证 TGT 与 Authenticator,为客户端提供 Service Tickets。

四、Kerberos 原理

在深入了解 Kerberos 原理之前,先介绍一下 Kerberos 协议的几个大前提,帮助大家理解:

1. Kerberos 基于 Ticket 实现身份认证,而非密码。如果客户端无法利用本地密钥,解密出 KDC 返回的加密Ticket,认证将无法通过。

2. 客户端将依次与 Authentication Service, Ticket Granting Service 以及目标Service进行交互,共三次交互。

3. 客户端与其他组件交互是,都将获取到两条信息,其中一条可以通过本地密钥解密出,另外一条将无法解密出。

4. 客户端想要访问的目标服务,将不会直接与KDC交互,而是通过能否正确解密出客户端的请求来进行认证。

5. KDC Database 包含有所有 principal 对应的密码。

6. Kerberos 中信息加密方式一般是对称加密(可配置成非对称加密)。

下面,我们将以客户端访问 http 服务为例,解释整个认证过程。

4.1 客户端与 Authentication Service

第一步,客户端通过kinit USERNAME或其他方式,将客户端ID, 目标HTTP服务ID, 网络地址(可能是多个机器的IP地址列表,如果想在任何机器上使用,则可能为空),以及TGT有效期的寿命等信息发送给 Authentication Service。

fd1519b5dd581b6ce65f758f7ceee0ff.png

第二步,Authentication Server 将检查客户端ID是否在KDC数据库中。

b356d79cfd34a1bc044171acc7f2ab96.png

如果 Authentication Server 检查操作没有异常,那么KDC将随机生成一个 key,用于客户端与 Ticket Granting Service(TGS) 通信。这个Key,一般被称为 TGS Session Key。随后 Authentication Server 将发送两条信息给客户端。示意图如下:

64eed0366297371bc4e121dc845126ff.png

其中一条信息被称为TGT,由TGS的密钥加密,客户端无法解密,包含客户端ID, TGS Session Key等信息。另一条信息由客户端密钥加密,客户端可以正常解密,包含目标 HTTP 服务ID,TGS Session Key等信息。

第三步,客户端利用本地的密钥解密出第二条信息。如果本地密钥无法解密出信息,那么认证失败。示意图如下:

75bea1529202e9097abc3961614bf56b.png

4.2 客户端与 Ticket Granting Service

这时候,客户端有了 TGT(由于本地没有TGS的密钥,导致无法解密出其数据)与 TGS Session Key。

第四步,客户端将:

  • “无脑”将 AS 发送过来的TGT(由TGS密钥加密)转发给TGS
  • 将包含自身信息的Authenticator(由TGS Session Key加密)发送给TGS

2aab099268bd5b977fd5d0df87ae7730.png

第五步,TGS 将利用 自身的密钥从TGT中解密出TGS Session Key,然后利用TGS Session Key从Authenticator 中解密出客户端的信息。

9d6baff40cac56c45bd4815194735a48.png

TGS 解密出所有信息后,将进行身份检查,进行认证:

  • 将客户端ID与TGT的客户端ID进行比较
  • 比较来自 Authenticator 的时间戳和TGT的时间戳 (典型的Kerberos系统的容忍度是2分钟,但也可以另行配置)
  • 检查TGT是否过期
  • 检查Authenticator是否已经在TGS的缓存中(为了避免重放攻击)

当所有检查都通过后, TGS 随机生成一个 Key 用于后续客户端与 HTTP 服务交互时进行通信加密使用,即 HTTP Session Key。同样地,TGS 将发送两条信息给客户端: 其中一条是 HTTP Ticket,由 HTTP 服务的密钥进行加密;另一条则由TGS Session Key加密,包含了客户端信息与时间戳。

2d94f38e8ce14fe6bda0ce67b415c1eb.png

第六步,客户端将利用TGS Session Key解密出其中一条信息,另一条信息由于是由目标HTTP服务加密,无法解密。

bb7b2105155e28c79f507015a9d56f36.png

4.3 客户端与 HTTP Service

这时候,客户端有了HTTP Ticket(由于本地没有HTTP服务的密钥,导致无法解密出其数据)与 HTTP Session Key。

第七步,客户端将:

  • “无脑”将 AS 发送过来的 HTTP Ticket(由HTTP 密钥加密)转发给目标 http 服务。
  • 将包含自身信息的Authenticator(由HTTP Session Key加密)发送给 http 服务。

25cbb3816254908280d378a3bc0fbb7d.png

第八步,HTTP服务首先利用自身的密钥解密出 HTTP Ticket 的信息,得到 HTTP Session Key;随后,利用HTTP Session Key解密出用户的Authenticator信息。

cf7385f3e25e6d45cfa2dcaabb3fb1b2.png

信息解密完成后,HTTP 服务同样需要做一些信息检查:

  • 将 Authenticator 中的客户端ID与HTTP Ticket中的客户端ID进行比较
  • 比较来自 Authenticator 的时间戳和 HTTP Ticket 的时间戳 (典型的 Kerberos 系统对差异的容忍度是 2 分钟,但也可以另行配置)
  • 检查Ticket是否过期
  • 检查 Authenticator 是否已经在HTTP服务器的缓存中(为了避免重播攻击)

至此,所有的认证过程通过,客户端即可与远程HTTP服务完成了身份认证,可以进行后续的信息通信。

c1120fe9e0765307a2cd15ad29af39d9.png

五、Kerberos 的优势

  1. 密码无需进行网络传输。基于 Ticket 实现身份认证,保障密钥安全性。
  2. 双向认证。整个认证过程中,不仅需要客户端进行认证,待访问的服务也需要进行身份认证。
  3. 高性能。一旦Client获得用过访问某个Server的Ticket,该Server就能根据这个Ticket实现对Client的验证,而无须KDC的再次参与。

六、参考

Explain like I’m 5: Kerberos​www.roguelynn.com Kerberos介绍​6.www3.hpe.com
weixin_39568133
关注
Hadoop 配置 Kerberos 认证_hadoop kerberos认证
2401_84185182的博客
04-27 524
rw-r–r–. 1 root root 1298 10月 5 17:14 bd_ca_cert。-rw-r–r–. 1 root root 1834 10月 5 17:14 bd_ca_key。
Kerberos协议认证
weixin_44216796的博客
01-03 671
域环境 由于Kerberos主要是用在域环境下的身份认证协议,所以在说之前先说下域环境的一些概念。首先域的产生为了解决企业内部的资源管理问题,比如一个公司就可以在网络中建立一个域环境,更方便内部的资源管理。在一个域中有域控、域管理员、普通用户、主机等等各种资源。 在下图中YUNYING.LAB为其他两个域的根域,NEWS.YUNYING.LAB 和DEV.YUNYING.LAB均为YUNYING.LAB的子域,这三个域组成了一个域树。子域的概念可以理解为一个集团在不同业务上分公司,他们有业务重合的点并且都属
Kerberos认证流程详解
热门推荐
jewes的专栏
03-08 5万+
Kerberos是诞生于上个世纪90年代的计算机认证协议,被广泛应用于各大操作系统和Hadoop生态系统中。了解Kerberos认证的流程将有助于解决Hadoop集群中的安全配置过程中的问题。为此,本文根据最近阅读的一些材料,详细介绍Kerberos认证流程。欢迎斧正!
Kerberos 认证介绍
最新发布
qq_44011926的博客
07-29 1663
Ticket(票据):一个加密的证书,证明用户的身份并允许用户访问特定的服务。票据由 Kerberos 服务器(Key Distribution Center,KDC)颁发。KDC 是 Kerberos 认证系统的中心,包括两个主要的组件:Authentication Server (AS):负责用户登录验证,并颁发初始票据(Ticket Granting Ticket, TGT)。Ticket Granting Server (TGS):负责颁发服务票据,用于访问具体的服务。
Kerberos认证系统
07-16
这个是一个Kerberos认证系统的基本代码实现,有一个客户端和3个认证服务器,加密方式是DES。用到的数据库是最基础的ACCESS数据库。所用软件是Eclipse。
详解kerberos认证原理
大数据星球-浪尖
02-10 7232
前言Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全,kerberos侧重于通信前双方身份的认定工作,帮助客户端和服务端解决“...
kerberos认证
weixin_33781606的博客
06-03 269
Kerberos统一认证实验配置0.准备工作Kerberos是一种认证协议,以地狱守护者(三个头的狗)的名字命名,这个协议堪称完美,原理相当复杂,见http://blog.chinaunix.net/u/4940/showart_2374802.html,现在发展倒到第5版,其演变过程被MIT描述程Athena和Euripides的一段对话,http://biz.chinab...
Kerberos认证
星落的博客
08-10 4839
Kerberos 是一种网络认证协议,其流程主要分为三个部分,Authentication Service Exchange,Ticket Granting Service Exchange,Client/Server Exchange
kerberos.rar_Kerberos_kerberos Java_single_sso java
07-15
Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和...
JAAS.rar_Action!_Jaas Kerber_jaas KERBEROS_kerberos Java_login.a
09-24
_Jaas_Kerber_jaas_KERBEROS_kerberos_Java_login.a"压缩包文件包含了关于如何在Java环境中使用JAAS实现Kerberos登录和委托的示例代码。Kerberos是一种广泛使用的网络身份验证协议,它提供了强大的安全性,通过一次...
php 实现kerberos认证,Kerberos简介_PHP教程
weixin_35885813的博客
03-23 442
Kerberos简介Kerberos协议:Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安全性。条件先来看看Kerbe...
快速入门Kerberos认证_单域kerberos协议的对话流程中每一个阶段的对话流程图
m0_61043185的博客
04-09 372
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
Kerberos认证--图解
qq_46480020的博客
11-22 966
kerboros认证
kerberos认证_Mac里捣腾Kerberos(一)
05-16
Kerberos是一种网络认证协议,用于验证用户和服务器之间的身份。在Mac上,可以使用Kerberos来进行身份验证,以便在使用网络服务时不需要再次输入用户名和密码。以下是在Mac上配置Kerberos的步骤: 1. 安装Kerberos 首先,需要安装Kerberos客户端。可以使用Homebrew进行安装。在终端中输入以下命令: ``` brew install krb5 ``` 2. 配置Kerberos 在安装Kerberos后,需要进行一些配置。打开终端并输入以下命令: ``` sudo nano /etc/krb5.conf ``` 这将打开krb5.conf文件。在文件中添加以下内容: ``` [libdefaults] default_realm = EXAMPLE.COM [realms] EXAMPLE.COM = { kdc = kerberos.example.com admin_server = kerberos.example.com } [domain_realm] .example.com = EXAMPLE.COM example.com = EXAMPLE.COM ``` 替换EXAMPLE.COM和kerberos.example.com为实际的域和Kerberos服务器。保存并关闭文件。 3. 运行Kerberos 现在可以使用Kerberos进行身份验证。在终端中输入以下命令以获取Kerberos票据: ``` kinit username ``` 替换username为实际的用户名。输入用户密码以获取Kerberos票据。 4. 检查Kerberos票据 可以使用以下命令检查Kerberos票据: ``` klist ``` 这将显示当前用户的Kerberos票据。可以在使用需要身份验证的网络服务时使用此票据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值