【大数据安全-Kerberos】一篇文章搞定Kerberos认证

已于 2024-01-03 15:14:22 修改
阅读量1.5k 收藏 3
点赞数 1
分类专栏: 大数据安全及计算机基本原理 文章标签: 大数据
于 2023-03-28 14:27:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53543905/article/details/129593889
版权

【大数据安全-Kerberos】一篇文章搞定Kerberos认证

1)Kerberos 相关了解

Kerberos 一词来源于古希腊神话中的 Cerberus —— 守护地狱之门的三头犬。下图是 Kerberos 的 LOGO:

在这里插入图片描述

Kerberos 是一种身份认证协议,被广泛运用在大数据生态中,甚至可以说是大数据身份认证的事实标准。

一句话来说,Kerberos 是一种基于加密 Ticket 的身份认证协议。Kerberos 主要由三个部分组成:Key Distribution Center (即KDC)ClientService。 大致关系如下图所示:

在这里插入图片描述

客户端会先访问两次KDC,然后再访问目标Service,如:HTTP服务。

2)Kerberos 基本概念

2.1.基本概念

  • Principal

    大致可以认为是 Kerberos 世界的用户名,用于标识身份。

    principal 主要由三部分构成:primary,instance(可选)和 realm。

    包含 instance 的 principal,一般会作为 server 端的 principal,如:NameNode,HiverServer2,Presto Coordinator 等;不含有 instance 的 principal,一般会作为 客户端的 principal,用于身份认证。

    例子如下图所示:

    在这里插入图片描述

  • Keytab

    “密码本”。包含了多个 principal 与密码的文件,用户可以利用该文件进行身份认证。

  • Ticket Cache

    客户端与 KDC 交互完成后,包含身份认证信息的文件,短期有效,需要不断renew。

  • Realm

    Kerberos 系统中的一个namespace。不同 Kerberos 环境,可以通过 realm 进行区分。

2.2.KDC

Key Distribution Center(即 KDC),是 Kerberos 的核心组件,主要由三个部分组成:

  • Kerberos Database

    包含了一个 Realm 中所有的 principal、密码与其他信息。(默认:Berkeley DB)

  • Authentication Service(AS)

    进行用户信息认证,为客户端提供 Ticket Granting Tickets(TGT)。

  • Ticket Granting Service(TGS)

    验证 TGT 与 Authenticator,为客户端提供 Service Tickets

3)Kerberos 原理

在深入了解 Kerberos 原理之前,先介绍一下 Kerberos 协议的几个大前提,帮助大家理解:

1、Kerberos 基于 Ticket 实现身份认证,而非密码。如果客户端无法利用本地密钥,解密出 KDC 返回的加密 Ticket,认证将无法通过。

2、客户端将依次与 Authentication Service, Ticket Granting Service 以及目标 Service 进行交互,共三次交互。

3、客户端与其他组件交互是,都将获取到两条信息,其中一条可以通过本地密钥解密出,另外一条将无法解密出。

4、客户端想要访问的目标服务,将不会直接与 KDC 交互,而是通过能否正确解密出客户端的请求来进行认证。

5、KDC Database 包含有所有 principal 对应的密码。

6、Kerberos 中信息加密方式一般是对称加密(可配置成非对称加密)。

下面,我们将以客户端访问 http 服务为例,解释整个认证过程。

3.1.客户端 与 Authentication Service

第一步:

客户端通过 kinit USERNAME 或其他方式,将客户端 ID,目标 HTTP 服务 ID,网络地址(可能是多个机器的 IP 地址列表,如果想在任何机器上使用,则可能为空),以及 TGT 有效期的寿命等信息发送给 Authentication Service。

在这里插入图片描述
第二步:

Authentication Server 将检查客户端 ID 是否在 KDC 数据库中。

在这里插入图片描述

如果 Authentication Server 检查操作没有异常,那么 KDC 将随机生成一个 key,用于客户端与 Ticket Granting Service(TGS) 通信。这个Key,一般被称为 TGS Session Key。随后 Authentication Server 将发送两条信息给客户端。示意图如下:

在这里插入图片描述

其中一条信息被称为 TGT ,由 TGS 的密钥加密,客户端无法解密,包含客户端 ID, TGS Session Key 等信息。另一条信息由客户端密钥加密,客户端可以正常解密,包含目标 HTTP 服务 ID,TGS Session Key 等信息。

第三步:

客户端利用本地的密钥解密出第二条信息。如果本地密钥无法解密出信息,那么认证失败。示意图如下:

在这里插入图片描述

3.2.客户端 与 Ticket Granting Service

第四步(客户端):

这时候,客户端有了 TGT(由于本地没有 TGS 的密钥,导致无法解密出其数据)与 TGS Session Key。

  • “无脑”将 AS 发送过来的 TGT(由TGS密钥加密)转发给 TGS
  • 将包含自身信息的 Authenticator(由 TGS Session Key 加密)发送给 TGS

在这里插入图片描述

第五步:

TGS 将利用 自身的密钥从 TGT 中解密出 TGS Session Key,然后利用TGS Session Key 从Authenticator 中解密出客户端的信息。

在这里插入图片描述

TGS 解密出所有信息后,将进行身份检查,进行认证:

  • 将客户端 ID 与 TGT 的客户端 ID 进行比较
  • 比较来自 Authenticator 的时间戳和 TGT 的时间戳 (典型的Kerberos系统的容忍度是2分钟,但也可以另行配置)
  • 检查 TGT 是否过期
  • 检查 Authenticator 是否已经在 TGS 的缓存中(为了避免重放攻击)

当所有检查都通过后, TGS 随机生成一个 Key 用于后续客户端与 HTTP 服务交互时进行通信加密使用,即 HTTP Session Key。同样地,TGS 将发送两条信息给客户端: 其中一条是 HTTP Ticket,由 HTTP 服务的密钥进行加密;另一条则由 TGS Session Key 加密,包含了客户端信息与时间戳。

在这里插入图片描述

第六步:

客户端将利用 TGS Session Key 解密出其中一条信息,另一条信息由于是由目标 HTTP 服务加密,无法解密。

在这里插入图片描述

3.3.客户端 与 HTTP Service

第七步(客户端):

这时候,客户端有了 HTTP Ticket(由于本地没有 HTTP 服务的密钥,导致无法解密出其数据)与 HTTP Session Key。

  • “无脑”将 AS 发送过来的 HTTP Ticket(由 HTTP 密钥加密)转发给目标 http 服务。
  • 将包含自身信息的 Authenticator(由 HTTP Session Key 加密)发送给 http 服务。

在这里插入图片描述

第八步:

HTTP 服务首先利用自身的密钥解密出 HTTP Ticket 的信息,得到 HTTP Session Key;随后,利用 HTTP Session Key 解密出用户的 Authenticator 信息。

在这里插入图片描述
信息解密完成后,HTTP 服务同样需要做一些信息检查:

  • 将 Authenticator 中的客户端 ID 与 HTTP Ticket 中的客户端ID进行比较
  • 比较来自 Authenticator 的时间戳和 HTTP Ticket 的时间戳(典型的 Kerberos 系统对差异的容忍度是 2 分钟,但也可以另行配置)
  • 检查Ticket是否过期
  • 检查 Authenticator 是否已经在 HTTP 服务器的缓存中(为了避免重播攻击)

至此,所有的认证过程通过,客户端即可与远程 HTTP 服务完成了身份认证,可以进行后续的信息通信。

在这里插入图片描述

4)Kerberos 优势

1、密码无需进行网络传输。基于 Ticket 实现身份认证,保障密钥安全性。

2、双向认证。整个认证过程中,不仅需要客户端进行认证,待访问的服务也需要进行身份认证。

3、高性能。一旦Client获得用过访问某个 ServerTicket ,该 Server 就能根据这个 Ticket 实现对 Client 的验证,而无须 KDC 的再次参与。

bmyyyyyy
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kerberos安装教程与命令详解(超详细)
zcs2312852665的博客
12-27 3034
本教程介绍了如何安装和配置Kerberos身份验证系统。首先,我们搭建了一个集群,并介绍了所需的软件包。然后,我们提供了一个一键安装脚本,可以自动下载、安装和配置Kerberos服务器及客户端组件。接下来,我们详细解释了kdb5_util、kadmin、kinit和klist等常用命令的用法。:这个软件包提供了运行 Kerberos 服务器所需的组件。它包含了 KDC(Key Distribution Center)和其他必要的工具,用于管理用户凭证、颁发票据以及处理身份验证请求等。通过安装。
【Hadoop】通俗易懂 Kerberos原理
康师傅没有眼泪
05-26 5533
Hadoop 使用Kerberos作为用户和服务的强身份验证和身份传播的基础。Kerberos 是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。Kerberos 是第三方认证机制,其中用户和服务依赖于第三方(Kerberos 服务器)来对彼此进行身份验证。Kerberos服务器本身称为密钥分发中心或 KDC。
2024年最全kerberos认证原理---讲的非常细致,易懂(1),2024年最新Golang开发还会吃香吗
最新发布
2401_84910848的博客
05-15 1048
同时需要注意的是SKDC-Client是一个Session Key,他具有自己的生命周期,同时TGT和Session相互关联,当Session Key过期,TGT也就宣告失效,此后Client不得不重新向KDC申请新的TGT,KDC将会生成一个不同Session Key和与之关联的TGT。通过上面的过程,Client实际上获得了两组信息:一个通过自己Master Key加密的Session Key,另一个被Sever的Master Key加密的数据包,包含Session Key和关于自己的一些确认信息。
kerberos入坑指南
mark's technic world
03-14 1582
原理介绍 kerberos主要是用来做网络通信时候的身份认证,最主要的特点就是“复杂”。所以在入坑kerberos之前,最好先熟悉一下其原理。这里推荐一些别人写的文章内容来进行简单汇总: 链接kerberos认证原理用对话场景来解释kerbeors的设计过程 简图 kerberos认证流程简图 几个概念的补充 principal 认证的主体,简单来说就...
3.3 域认证——Kerberos协议认证
GloryGod的博客
08-24 484
Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务。
Kerberos认证
简单点,编程的方式简单点
09-15 408
Kerberos是一种计算机网络认证协议,用于安全地验证用户和服务之间的身份。通过以上步骤,Kerberos认证过程完成,用户和服务之间的通信可以在安全的环境下进行。
Apache Hive+Kerberos安装配置及 Kettle(Pentaho)访问带 Kerberos 认证的 Hive的集成
Yore - Home
07-07 5926
本文重点介绍了客户端如何访问带有 Kerberos 认证的 Hive,其中客户端工具以 Kettle 和 DBeaver 为例。为了详细介绍整个过程,本文又介绍了如何基于 Apache 版本的 Hadoop 和 Hive 搭建带有 Kerberos 认证大数据集群。Kerberos 客户端环境重点以 Windows 为例,因此也介绍了在 Windows 系统下如何安装 和使用 Kerberos。最后经过修改 DBeaver 和 Kettle 启动脚本,从而成功访问带有 Kerberos 认证的 Hive
kerberos详解
空城的博客
12-01 1726
Kerberos始于20世纪80年代早期麻省理工学院(MIT)的一个研究项目,是一个网络身份验证系统。Kerberos提供的完整定义是安全的、单点登录的、可信的第三方相互身份验证服务。
大数据安全-kerberos技术-zookeeper安装包
06-06
Kerberos技术就是一种广泛应用于网络身份验证的安全协议,它可以提供强大的认证服务,确保数据传输的安全性。本资源包含的是大数据安全背景下的Kerberos与ZooKeeper的集成应用,特别是ZooKeeper的安装包,版本为`...
大数据安全-kerberos技术-hadoop安装包,hadoop版本:hadoop-3.3.4.tar.gz
06-06
本资源提供的是Hadoop的大数据安全组件——Kerberos的集成安装包,具体版本为hadoop-3.3.4.tar.gz,这是一款针对Hadoop进行安全配置的重要工具。 Hadoop是一个开源的分布式计算框架,它允许在大规模集群上存储和...
大数据安全-kerberos技术-kafka安装包,kafka版本:kafka-2.12-3.3.1.tgz
06-07
通过对Kafka集群进行Kerberos认证,可以确保数据传输的安全性,防止未经授权的访问。了解并掌握这一技术对于任何处理敏感数据的企业都至关重要。在实际部署中,还需要注意监控和日志管理,以确保系统的稳定性和安全...
大数据安全-kerberos技术-openssl安装包,openssl版本:openssl-1.1.1k.tar.gz
06-07
在IT行业中,大数据安全是至关重要的领域,而Kerberos技术是其中的一种核心安全机制,主要用于验证网络服务的用户身份。Kerberos依赖于加密技术,而OpenSSL库则提供了强大的加密功能,使得数据传输更加安全。在这个...
大数据安全-kerberos技术-hbase安装包,hbase版本:hbase-2.2.6-bin.tar.gz
06-07
总之,Kerberos在HBase中的应用是确保大数据安全的重要手段。通过这个HBase 2.2.6的安装包,我们可以学习如何在实践中配置和管理Kerberos,从而提升整个大数据平台的安全防护能力。这不仅有助于保护数据隐私,也有助...
大数据安全组件-Kerberos认证+Ranger权限研究
gaozhenzhai的博客
06-19 1824
小结 总体来说,Kerberos是当前最有效最完善的统一身份认证框架,但是如果真的要全面实施,代价也很高,而从安全的角度来考虑,如果真的要防止恶意破坏的行为,在整个生产环境流程中,能被突破的环节其实也很多,光上Kerberos并不意味着就解决了问题,所以各大互联网公司用还是不用Kerberos,大家并没有一致的做法,即使All in Kerberos的公司,我敢说,除非完全不做服务化的工作,否则,整体链路方面也一定存在很多并不那么Kerberos的环节;简单的说,就是你想怎么做就怎么做。
Kerberos认证原理简介
weixin_30352191的博客
10-16 344
1.1 What is Kerberos 1.1.1 简单介绍  Kerberos是一个用于鉴定身份(authentication)的协议, 它采取对称密钥加密(symmetric-key cryptography),这意味着密钥不会在网络上传输。在Kerberos中,未加密的密码(unencrypted password)不会在网络上传输,因此攻击者无法通过嗅探网络来偷取用户的密码。   K...
基于Kerberos的跨域身份认证实验
Shirongliang的博客
12-03 1923
跨域身份认证技术是身份认证技术的一种典型应用,随着云计算的快速发展和大规模部署,传统的网络架构发生了深刻的变革,带来了新的安全挑战。在云环境下,身份提供者、认证凭证和签发机构的多元化造成用户访问时需穿越多个安全域,跨域身份认证已成为云安全的难点问题。Kerberos是一种网络认证协议,它使用对称加密的技术实现网络中的身份认证。目前大数据组件(如HDFS/ YARN/ HBase/Hive/Kafka/Spark 等等)基本上都默认支持Kerberos身份认证
Kerberos验证过程
weixin_34409703的博客
08-21 337
参考文献: How the Kerberos Version 5 Authentication Protocol Works: Logon and Authentication SQL Kerberos的原理及实验 SQL Server配置delegation实现double-hop 前言 之前写过两篇关于kerberos的博客,但是对于kerberos的验证过程还不够透彻,现在来详细讲...
kerberos认证的步骤,学习笔记
weixin_34128411的博客
12-26 666
1.KDC,uname,upwd -x算法=>authticator 暗号 2.KDC ->uname,pwd->x1算法->解密authticator 确认客户端身份->生成登录会话秘钥login key 3.KDC发送两部分内容 1.KDC key加密的(userinfo用户信息,loging key)就是TGT,TGT的中文意思相当于认购权证 ,2.up...
kerberos部署
10-19
Kerberos是一种网络认证协议,用于在不安全的网络环境中安全地进行身份验证。Kerberos的部署需要以下步骤: 1. 安装Kerberos相关服务,包括KDC(Key Distribution Center)和客户端工具。 2. 在KDC所在主机上创建管理员账户,并生成密钥文件(keytab)。 3. 在服务端主机上修改kadm5.acl文件,以授权管理员账户对Kerberos数据库进行管理。 4. 启动Kerberos相关服务,包括KDC和kadmind服务。 具体步骤如下: 1. 在KDC所在主机上安装Kerberos相关服务,包括krb5-server、krb5-workstation和krb5-libs等软件包。 2. 在KDC所在主机上创建管理员账户,并生成密钥文件。可以使用kadmin.local命令创建管理员账户,例如: kadmin.local -q "addprinc admin/admin" 然后使用kadmin.local命令生成密钥文件,例如: kadmin.local -q "ktadd -k /etc/krb5.keytab host/kerberos.example.com" 3. 在服务端主机上修改kadm5.acl文件,以授权管理员账户对Kerberos数据库进行管理。可以使用vi编辑器打开kadm5.acl文件,添加以下内容: */admin@EXAMPLE.COM * 4. 启动Kerberos相关服务,包括KDC和kadmind服务。可以使用systemctl命令启动krb5kdc和kadmin服务,例如: systemctl start krb5kdc systemctl start kadmin

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值