kerberos 票据过期_Kerberos安全体系详解

最新推荐文章于 2023-10-01 10:00:00 发布
最新推荐文章于 2023-10-01 10:00:00 发布
阅读量1k 收藏 1
点赞数
文章标签: kerberos 票据过期
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39848953/article/details/112076045
版权
Kerberos是一个安全认证协议,通过tickets验证用户身份,避免密码在网络中传输。协议包括3次通信:用户首先向KDC获取Ticket Granting Ticket (TGT),然后使用TGT获取服务Ticket,最后凭服务Ticket与目标服务进行通信。票据过期后,用户需重新获取TGT。Kerberos仅提供身份验证,不涉及授权和审计。项目实现包含KDC服务器端、客户端和工具类,使用AES加密,Kryo序列化,并提供异常处理和基础工具支持。
摘要由CSDN通过智能技术生成

1. Kerberos简介

1.1. 功能

  1. 一个安全认证协议
  2. 用tickets验证
  3. 避免本地保存密码和在互联网上传输密码
  4. 包含一个可信任的第三方
  5. 使用对称加密
  6. 客户端与服务器(非KDC)之间能够相互验证

Kerberos只提供一种功能——在网络上安全的完成用户的身份验证。它并不提供授权功能或者审计功能。

1.2. 概念

首次请求,三次通信方

  • the Authentication Server
  • the Ticket Granting Server
  • the Service or host machine that you’re wanting access to.
3e4ca921-2f2f-eb11-8da9-e4434bdf6706.png

图 1‑1 角色

其他知识点

  • 每次通信,消息包含两部分,一部分可解码,一部分不可解码
  • 服务端不会直接有KDC通信
  • KDC保存所有机器的账户名和密码
  • KDC本身具有一个密码

2. 3次通信

404ca921-2f2f-eb11-8da9-e4434bdf6706.png

我们这里已获取服务器中的一张表(数据)的服务以为,为一个http服务。

2.1. 你和验证服务

如果想要获取http服务,你首先要向KDC表名你自己的身份。这个过程可以在你的程序启动时进行。Kerberos可以通过kinit获取。介绍自己通过未加密的信息发送至KDC获取Ticket Granting Ticket (TGT)。

(1)信息包含

  • 你的用户名/ID
  • 你的IP地址
  • TGT的有效时间

Authentication Server收到你的请求后,会去数据库中验证,你是否存在。注意,仅仅是验证是否存在,不会验证对错。

如果存在,Authentication Server会产生一个随机的Session key(可以是一个64位的字符串)。这个key用于你和Ticket Granting Server (TGS)之间通信。

(2)回送信息

Authentication Server同样会发送两部分信息给你,一部分信息为TGT,通过KDC自己的密码进行加密,包含:

  • 你的name/ID
  • TGS的name/ID
  • 时间戳
  • 你的IP地址
  • TGT的生命周期
  • TGS session key

另外一部分通过你的密码进行加密,包含的信息有

  • TGS的name/ID
  • 时间戳
  • 生命周期
  • TGS session key
464ca921-2f2f-eb11-8da9-e4434bdf6706.png
最低0.47元/天 解锁文章
weixin_39848953
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java kerberos认证 过期_Kerberos和Apache Sentry医疗数据领域实践
weixin_34532234的博客
12-25 247
医疗行为本身决定了患者和医生都不可能隐瞒或者造假,即医疗数据具有普遍的真实性和隐私性,并存在极高的质量和价值。同时,医疗数据覆盖范围广,既是个体的生物学数据,又包含了疾病传播、地区流行病发展等数据,一旦数据泄漏将会带来严重影响。因此,使用网络安全认证和权限管理来对数据资产进行安全加固势在必行。Kerberos 是什么?Kerberos 提供了大数据组件之间的身份认证,简单说就是,当 A 组件去访问...
java kerberos认证 过期_Kerberos安装使用
weixin_39531635的博客
12-25 512
1、安装方式一:【手动编译安装】# 1. 下载界面https://web.mit.edu/kerberos/dist/index.html# 2. 选择下载版本,如:1.17https://web.mit.edu/kerberos/dist/krb5/1.17/krb5-1.17.tar.gz# 3. 解压tar zxvf krb5-1.17.tar.gz# 3. 编译cd krb5-1.17/s...
CDH开启kerberos报错:Ticket expired
qq_32068809的博客
08-19 893
我是参考cloudera官方文档上的开启kerberos向导做的,地址:https://docs.cloudera.com/cdp-private-cloud-base/7.1.5/security-kerberos-authentication/topics/cm-security-kerberos-enabling-step4-kerberos-wizard.html 开启过程中,最后的启动集群步骤开始报错,报错的服务有kafka、hbase、JobHistory等,相关日志如下: kafka、hb
生成keytab文件,且能使用密码登录kerberos
qq_40302627的博客
01-28 290
提示输入密码的时候,输入密码即可
Kerberos身份验证协议
黄森林
06-25 1306
Kerberos身份验证协议来自EEWiki.跳转到: 导航, 搜索kerberos是由MIT开发的提供网络认证服务的系统。它可用来为网络上的各种server提供认证服务,使得口令不再是以明文方式在网络上传输,并且联接之间通讯是加密的。它和PKI认证的原理不一样,PKI使用公钥体制(不对称密码体制),kerberos基于私钥体制(对称密码体制)。Kerberos称为可信的第三方验证
Kerberos安装教程及使用详解
09-15
**Kerberos协议详解** Kerberos是一种广泛用于计算机网络安全的身份鉴别协议,它设计的核心目标是提供基于密钥的安全服务,实现用户在网络中的一次登录即可访问多个服务,即单点登录(Single Sign-On,SSO)功能。...
Kerberos-Authentication-Protocol-master.zip_Kerberos
09-24
Kerberos认证协议详解——基础篇》 Kerberos是一种强大的网络认证协议,它为用户提供了一种安全的身份验证方式,确保在网络通信中只有合法的用户可以访问资源。本篇文章将深入探讨Kerberos的基本原理、工作流程...
kerberos认证过程,AD域认证
06-12
### Kerberos认证过程详解 #### 一、基本原理与核心概念 Kerberos是一种广泛使用的安全协议,主要用于网络环境下的身份验证(Authentication)。身份验证的目的在于确认一个人或实体是否确实如其所声称的身份那样。...
Kerberos 认证流程
05-31
### Kerberos认证流程详解 #### 一、Kerberos认证机制概述 Kerberos是一种广泛应用于网络环境下的安全协议,其主要目的是为了实现用户和服务之间的安全认证。它通过使用对称密钥加密技术来保护数据的安全性和完整...
显示hue的kerberos票据过期
n421529963的博客
05-16 185
kerberos
关于kerberos使用keytab安全认证连接hive票据过期的问题及解决方法。
热门推荐
weixin_43172032的博客
06-20 1万+
关于kerberos使用keytab安全认证连接hive票据过期的问题及解决方法问题描述解决方法 问题描述 本人在使用HiveStreaming的过程中,使用kerberos keytab进行安全验证,程序会保持长期连接。(hive jdbc 连接也要同样的问题) 登录主要代码: LoginContext lc = new LoginContext(clientName, new TextCall...
Kerberos常见报错汇总
王羲之的之的博客
09-27 1868
在初始化Kerberos数据库时需要输入密码,2次密码输入不一致就会导致该错误。重新执行"kdb5_util -r YINZHENGJIE.COM create -s"指令,输入2次相同的密码即可。一般情况下出现在配置文件(kdc.conf)中的"supported_enctypes"的某个加密类型不可用。下面我针对"supported_enctypes"做了修改,大家可以做个对比。使用修改后的参数问题得到解决,之所以贴出来修改后的是为了提供一个参考。
Kerberos验证失败:Kinit: Ticket expired while renewing credentials
m0_37759590的博客
07-04 941
Kerberos验证失败:Kinit: Ticket expired while renewing credentials
Kafka-Kerberos票据刷新问题
最新发布
孟孟的博客
10-01 943
至此找到了问题出现的原因,由于线上项目 useTicketCache 设置成了 true, 导致每次票据刷新的定时任务都会经过上述逻辑,调用 Kerberos kinit 命令,但是项目运行的服务器并没有 kinit,所以出现异常,票据刷新失败。从报错信息看,相关业务逻辑是在 KerberosLogin 类中。tips: 如果大家查看源码的话,可以关注一下 KerberosLogin 的 login 方法,此方法创建了一个 定时任务的线程,用来解决票据刷新问题的,具体代码我就不贴图啦。
【FLinlk】Flink小坑之kerberos动态认证
九师兄
06-09 4379
1.概述 转载并且补充:Flink小坑之kerberos动态认证 2.官网 这段内容摘抄自官网:Kerberos Authentication Setup and Configuration 配置:Kerberos-based Authentication / Authorization Flink 通过 Kafka 连接器提供了一流的支持,可以对 Kerberos 配置的 Kafka 安装进行身份验证。只需在 flink-conf.yaml 中配置 Flink。像这样为 Kafka 启用 Kerbero
如何续订用于 Amazon EMR 身份验证的过期 Kerberos 票证
eli的博客
11-18 540
Host。
kerberos】深入理解kerberos票据生命周期
Mrerlou的博客
06-17 1930
查看当前服务器票据 Valid starting:认证的时间,也就是执行kinit的时间:2019-11-27T14:01:44 Expires:失效时间2019-11-28T14:01:44,这个时间是票据当前生命周期的失效时间 renew until:票据一个生命周期过后,都会自动刷新一次获得新的票据,直到2019-12-04T14:01:44,每次刷新后Expires都会变化; 当然也可以手动刷新 手动刷新的话,valid starting和Expires会变,renew until不变 其实可以
【Hbase迁移问题】hdfs get数据量过大导致kerberos票据失效问题记录
lin86182824的博客
01-31 354
hbase使用hdfs get方式迁移数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值