内网笔记之Kerberos网络身份认证协议

最新推荐文章于 2023-08-16 16:22:21 发布
最新推荐文章于 2023-08-16 16:22:21 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: 协议原理 后渗透、内网学习 文章标签: Kerberos 内网协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41598660/article/details/104590982
版权

Kerberos网络身份认证协议

Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客 户机 / 服务器应用程序提供强大的认证服务。

  • Kerberos的三大要素:
    client、server、KDC

  • 对于KDC,这是我自己理解画的草图
    在这里插入图片描述
    个人理解:
    密钥分发中心 KDC(Key Distribution Center)
    KDC(Key Distribution Center) = DC(Domain Controller)
    是客户端和服务器都信任的第三方实体
    它提供密码管理功能
    它负责维护安全主体的账户信息,包括密钥
    它负责kerberos协议中的密钥分发职责

KDC由认证服务和票据授权服务组成:
认证服务AS (Authentication Service):管理安全主体的身份和密钥、对客户身份认证,发放票据授权票据
票据授权服务 TGS (Ticket Granting Service) :票据授权服务主要是进行票据授权票据的确认,确认用户的身份并颁发服务票据。类似于Token一样的一种表明身份的东西。

借用浏览器上常见的草图
在这里插入图片描述

  • 根据图上,进行简单的口头化理解:
    1-2. client向kerberos服务请求,希望获取访问server的权限。 kerberos得到了这个消息,首先得判断client是否是可信赖的, 也就是白名单黑名单的说法。这就是AS服务完成的工作,通过 在AD中存储黑名单和白名单来区分client。成功后,返回AS返 回TGT给client。
    3-4. client得到了TGT后,继续向kerberos请求,希望获取访问 server的权限。kerberos又得到了这个消息,这时候通过client 消息中的TGT,判断出了client拥有了这个权限,给了client访 问server的权限ticket。
    4-5. client得到ticket后,终于可以成功访问server。这个ticket只是 针对这个server,其他server需要向TGS申请。

常见术语

  • TGT
    KDC生成一个用于对称加密的session key,也叫TGT(Ticket-granting Ticket) key。

  • Golden Ticket(黄金票据)
    TGT是由KRBTGT用户生成的,有了该票据你可以访问任何通过kerberos认证的服务,如果我们拿到了该用户的Hash,那么我们就可以伪造TGT,该用户只存在于域控中,所以前提是你要拿到域控的权限。

  • Silver Ticket(白银票据)
    如果我们有服务器上的用户Hash,就可以伪造一个Server-Ticket绕过认证,达到访问服务的目的。白银票据只能访问特定的服务。

参考文章:
http://www.360doc.com/content/15/0803/10/13047933_489182493.shtml

努力的学渣'#
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
内网渗透(十九)之Windows协议认证和密码抓取-网络认证(基于挑战响应认证的NTLM协议)
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-12 423
在平时的测试中,经常会碰到处于工作组的计算机,处于工作组的计算机之间是无法建立一个可信的信托机构的,只能是点对点进行信息的传输。举个例子就是,主机A想要访问主机B上的资源,就要向主机B发送一个存在于主机B上的一个账户,主机B接收以后会在本地进行验证,如果验证成功,才会允许主机A进行相应的访问。
Kerberos协议理解
05-05
Kerberos协议理解
Kerberos网络认证协议搭建与分析-A48郭茁宁-1183710109-实验报告1
08-08
二、实验环境实验所使用的设备名称及规格,网络管理工具简介、版本等 三、实验内容与实验要求实验内容、原理分析及具体实验要求 四、实验过程与分析根据具体实验,记录、
spring-security-pac4j:用于Spring安全性的pac4j安全性库:OAuth,CAS,SAML,OpenID Connect,LDAP,JWT。
01-29
spring-security-pac4j项目是一个用于Spring Security Web应用程序和Web服务(带有或不带有Spring Boot)的简单而强大的安全性库。 它支持身份验证和授权,还支持会话固定和CSRF保护等高级功能。 它基于Java 8,Spring Security 5和v5 。 它在Apache 2许可下可用。 对于新的Spring Boot或Spring MVC项目,或者如果您打算将整个webapp迁移到pac4j ,则应使用库而不是该库,该库具有类似的功能,但更简单! 代表认证机制。 它执行登录过程并返回用户配置文件。 间接客户端用于Web应用程序身份验证,而直接客户端用于Web服务身份验证: ▸OAuth-SAML-CAS-OpenID Connect-HTTP-Google App Engine-Kerberos-LDAP-SQL-JWT-MongoDB-CouchDB-IP地址-REST API 者旨在检查已认证的用户个人资料或当前Web上下文中的授权: ▸角色/权限-匿名/记住我/(完全)已认证-配置文件类型,属性-CORS-CSRF-
详解:Kerberos身份验证技术.docx
10-30
本主题将说明Kerberos身份验证是什么以及Windows Server 2003支持的Kerberos V5协议和扩展如何工作。 在这个主题 什么是Kerberos身份验证? Kerberos版本5身份验证协议的工作原理 Kerberos身份验证工具和设置
Kerberos 网络认证协议
06-22
Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务
Kerberos认证系统
07-16
这个是一个Kerberos认证系统的基本代码实现,有一个客户端和3个认证服务器,加密方式是DES。用到的数据库是最基础的ACCESS数据库。所用软件是Eclipse。
内网安全——Kerberos协议详细全解
m0_67189356的博客
09-21 4336
Kerberos认证详解
安装配置Kerberos(一):Kerberos安全体系详解
changlina_1989的博客
01-08 511
1. Kerberos简介 1.1. 功能 1. 一个安全认证协议 2. 用tickets验证 3. 避免本地保存密码和在互联网上传输密码 4. 包含一个可信任的第三方 5. 使用对称加密 6. 客户端与服务器(非KDC)之间能够相互验证 Kerberos只提供一种功能——在网络上安全的完成用户的身份验证。它并不提供授权功能或者审计功能。 1.2. 概念 首次请求,三次通信方 the Authentication Server the Ticket Granting Server.
Kerberos + OpenLDAP集成测试
在路上
12-18 1939
最近研究了下Kerberos + OpenLDAP的集成,得出结论如下: 1、KerberosOpenLDAP是两套分别独立的用户认证系统 2、OpenLDAP主要做用户管理,其可以作为Kerberos的用户存储数据库 3、OpenLDAP可以与SSSD、SSH集成来作为Linux远程登录用户管理 4、对于大数据平台比如CDH,可以集成Kerberos也可以集成OpenLDAP,但是集...
Kerberos认证原理与使用教程
m0_46168848的博客
02-21 6544
Kerberos认证原理与使用教程
kerberos身份认证协议分析及改进
04-22
kerberos身份认证协议分析及改进,提出了基于公钥的kerberos身份认证协议
深度学习从入门到实际项目资料汇总
汽车电子软件领域知识分享
08-16 330
什么是深度学习?,如何入门?怎样应用到实际的项目中呢?想自己动手实践一下人脸识别该如何做呢?想把训练好的模型在嵌入式设别上跑以来该如何实现呢?等等......这些问题也许困扰着各位小伙伴,本专栏立足于实践,从具体问题出发,由浅入深地、一步一步地记录博主在如何学习深度学习理论知识,记录如何实现一个个AI应用,记录如何在浩瀚的资料中过滤出知识点解惑,记录如何踩坑,记录优秀的学习资源......,如果大家觉得有帮助,请转发、收藏,点赞,欢迎大家评论、交流。
Druid源码目录解释
Vision
12-08 534
benchmarks 基准测试模块 cloud 对接亚马逊和谷歌云的模块 core 核心包,主要包括druid的基础组件定义 dev 开发者需要关注的内容 distribution 发布描述,dockerfile的创建开发等 docs 文档 examples druid的目录文件事例(bin/conf/quickstart) extendedset 扩展集合 conciseSet extensions-contrib 社区贡献的扩展插件 ambari-metrics=emitter 监控指标扩...
Kerberos协议详解
做自己喜欢的事,并将其发挥到极致!
09-13 1万+
Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全,Kerberos侧重于通信前双方身份的认定工作,帮助客户端以及服务端验证是真正的自己并非他人,从而使得通信两端能够完全信任对方的身份,在一个不安全的网络中完成一次安全的身份认证继而进行安全的通信。Kerberos是一种计算机网络认证协议,其设计目标是通过密钥系统为网络中通信的客户机(Client)/服务器(Server)应用程序提供严格的身份验证服务,确保通信双方身份的真实性和安全性。
VS2010编译运行项目提示 拒绝访问
crslee的专栏
12-24 1357
我的项目都放在了系统盘符上面,这是引发了系统权限问题。所以我把项目重新拷贝一份,放在了另一个盘上面,重启VS就可以解决了
身份认证——Portal组网架构、协议报文、用户认证流程讲解
m0_49864110的博客
03-17 8751
802.1x认证点多,配置量大,因此提出了portal认证Portal认证也称为Web认证,通过网站的形式进行身份认证,免除客户端(只需要网络浏览器的支持,也可以使用Portal客户端软件进行认证),一般将Portal认证网站称为门户网站。
Kerberos网络认证协议的理解
penriver的博客
07-01 1732
1. Kerberos 1.1. 概念 Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。 1.2. 组成 Kerberos的世界包含三个实体,其中KDC包含两个服务器(AS,
因为指定的域不存在,或无法联系重新新加入域,无法与域控制器连接(简单解决方法!!!
热门推荐
来到了学渣的博客
02-26 3万+
打开活动目录用户和计算机,显示找不到命名信息,因为指定的域不存在,或无法联系重新新加入域,无法与域控制器连接 解决: 首先按住“Windows + R”键,弹出运行对话框,在运行对话框输入“regedit”进入注册表 `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters` SysvolReady键值更改...
sasl身份验证是kerberos认证吗
最新发布
11-28
SASL(Simple Authentication and Security Layer)是一种用于互联网应用程序的认证和安全性协议。而Kerberos是一种网络认证协议,用于验证用户和服务之间的身份。 尽管SASL和Kerberos可以结合使用,并且SASL可以使用Kerberos进行身份验证,但它们并不完全相同。Kerberos是一种基于票据的身份验证系统,它使用票据令牌进行互相验证和身份验证。而SASL是一种通用的认证协议,可以用于使用不同的认证机制进行身份验证,包括Kerberos。 通过SASL协议进行的身份验证可以使用多种机制,而不仅仅是KerberosKerberos是其中一种机制,但也可以使用其他机制,如明文、密钥、证书等。 因此,可以说SASL身份验证可以是Kerberos认证,也可以是其他形式的认证,这取决于使用的身份验证机制。SASL提供了灵活性和可配置性,使得应用程序可以选择适合其需求的认证方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值