Keberos安全认证学习

最新推荐文章于 2025-03-22 12:15:22 发布
最新推荐文章于 2025-03-22 12:15:22 发布
阅读量1.5k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/JY_He/article/details/89925152
本文深入探讨Kerberos网络认证协议,包括其角色概念、认证过程和在Hadoop安全机制中的应用。Kerberos通过TGT(Ticket Granting Ticket)和会话密钥确保用户和服务间安全通信。在Hadoop中,Delegation Tokens作为轻量级认证机制,用于减轻KDC的压力。理解Kerberos ticket和Hadoop token的生命周期对于管理认证至关重要。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

因为,最近要做大数据组件的安全认证,需要涉及到kerberos这个组件,记录相关资料,后续查看。

Kerberos 是一种网络认证协议,它采用了传统的共享密钥的方式,实现了在网络环境不一定保证安全的环境下,client和server之间的通信,适用于client/server模型。用户只需输入一次身份验证信息,就可凭借此验证获得的票据授予票据(ticket-granting ticket)访问多个接入Kerberos的服务。

                                              

                                                                          图 1.1 Kerberos认证

Kerberos角色概念:

  1. AS(Authentication Server):认证服务器。KDC的一部分。通常会维护一个包含安全个体及其秘钥的数据库,用于身份认证
  2. KDC(Key Distribution Center):密钥分发中心。,是一个提供票据(tickets)和临时会话密钥(session keys)的网络服务。KDC服务作为客户端和服务器端信赖的第三方,为其提供初始票据(initial ticket)服务和票据授予票据(ticket-granting ticket)服务,前半部分有时被称为AS,后半部分有时则被称为TGS。
  3. TGT(Ticket Granting Ticket):票据授权票据,票据的票据。包含客户端ID、客户端网络地址、票据有效期以及client/TGS会话密钥(TGT是和Server无关的)
  4. TGS(Ticket Granting Server):票据授权服务器。KDC的一部分,根据客户端传来的TGT发放访问对应服务的票据
  5. SS(Service Server):特定服务提供端
  6. Principal:被认证的个体。(client principal/server principal: 分别表示客户端和服务器的名字,命名规则:主名称+实例+领域。例如:admin/admin@ZELDA.COM
  7. Ticket:票据,客户端用它访问对应服务。包含:用户名,IP,时间戳,有效期,会话秘钥
  8. Session key:会话密钥,指两个安全个体之间使用的临时加密秘钥,其时效性取决于单点登录的会话时间长短
  9. Keytab:以文件的形式呈现,存储了一个或多个Principal的长期的key。用途和密码类似,用于kerberos认证登录(让用户不需要明文的存储密码,和程序交互时不需要人为交互来输入密码)

认证过程

 开启安全认证后的认证方式有两种:

  • 使用密码认证:

使用用户密码通过kinit认证, 获取到的TGT存在本地凭证缓存当中, 供后续访问服务认证使用。一般在交互式访问中使用。

  • 使用 keytab 认证:

用户通过导出的keytab 可以免密码进行用户认证, 后续步骤一致。一般在应用程序中配置使用。

Kerberos的认证过程可细分为三个阶段:初始验证、获取服务票据和服务验证:

第一阶段主要是客户端KDC中的AS发送用户信息,以及请求TGT

  • 客户端向KDC发送自己身份,即提供用户名密码(避免频繁使用用户名密码,可以使用keytab这个密码本);
  • AS收到请求后,随机生成一个密码Session Key,简称为SK1(使用客户端的Master Key自己的Master Key进行加密),并返回给客户端两条消息:a)一个给客户端,b)另一个给TGS
  • 客户端通过自己的Master Key对第一部分进行解密获得SK1之后,以及TGS的密钥加密的TGT 。

TGT大体又包含以下的内容:

  • SK1:只在一段时间内有效的Short-term Key
  • End time: TGT到期的时间。
  • Client name & realm: 简单地说就是Domain name\Client;

                                

                                                                          1.2初始验证流程图

第二阶段客户端拿到之前获得的TGT(一个TGT可以从KDC获得基于不同Server的Ticket)向KDC中的TGS请求访问某个服务的票据

  1. 客户端在获得自己和KDC的SK1之后,生成自己的A       uthentication以及要访问的Server名称,并使用Session Key进行加密,连同TGT一同发送给KDC;
  2. KDC中的TGS首先检查KDC数据库中是否存在所需服务,若存在则使用自己的Master Key对TGT进行解密,提取客户端信息(Client Info)和SK1,然后,使用这个SK1解密Authenticator获得Client Info,对两个Client Info进行对比,进行身份验证。
  3. 若验证通过,TGS则使用SK1对客户端和服务端
最低0.47元/天 解锁文章

200万优质内容无限畅学
hive配置Kerbros安全认证_hive kereveros
2401_84264610的博客
04-26 769
合并成一个keytab文件,rkt表示展示,wkt表示写入。注意:ktutil:以后面的是输入的。#生成密钥文件(生成到当前路径下)
Kerberos安全认证-连载10-Hive Kerberos 安全配置及访问_idea连接 kerberos 认证的hiveserver2
2401_85238540的博客
07-21 922
hiveserver2 keytab密钥文件路径hivemetastore 开启kerberos认证truemetastore kerberos主体metastore keytab密钥文件路径```以上配置分发到Hadoop各个集群节点后,将hdfs配置文件hdfs-site.xml,core-site.xml 发送到客户端和服务端HIVE_HOME/conf/目录中。​​​​​​​。
Kerberos认证协议介绍
lonelymanontheway的博客
10-19 1837
概述、特性、原理、概念、步骤、Authentication Service Exchange、Ticket Granting Service Exchange、Client/Server Exchange、 总结、实战、安装
Kerberos协议详解
热门推荐
李火火的安全圈
09-13 1万+
Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全,Kerberos侧重于通信前双方身份的认定工作,帮助客户端以及服务端验证是真正的自己并非他人,从而使得通信两端能够完全信任对方的身份,在一个不安全的网络中完成一次安全的身份认证继而进行安全的通信。Kerberos是一种计算机网络认证协议,其设计目标是通过密钥系统为网络中通信的客户机(Client)/服务器(Server)应用程序提供严格的身份验证服务,确保通信双方身份的真实性和安全性。
Kerberos认证原理与使用教程
m0_46168848的博客
02-21 1万+
Kerberos认证原理与使用教程
大数据权限认证 Kerberos 部署
u011047968的专栏
03-01 2519
Kerberos是一种网络身份验证协议,旨在支持使用密钥加密的客户端/服务器应用程序的强大身份验证。Kerberos 为网络资源提供最高级别的安全性。Kerberos 应用客户端/服务器体系结构并支持用户到服务器的身份验证,而不是主机到主机的身份验证。在此模型中,安全性和身份验证将取决于密钥技术,其中网络上的每个主机都有自己的密钥。
AD域内网渗透 - Keberos认证
最新发布
qq_33522010的博客
03-22 843
Keberos在希腊神话中,是Hades的一条凶猛的三头保卫神犬。从Windows Server 2003以来,Kerberos 一直被用作AD域中的主要身份验证机制。作为后续学习AD域内网渗透中一些攻击技术,我们需要理解这个认证体系。
hive配置Kerbros安全认证_hive kereveros(1)
2401_84264610的博客
04-26 514
因为服务器上可以访问keytab文件即可以以principal的身份通过kerberos的认证,所以,keytab文件应该被妥善保存,应该只有少数的用户可以访问。将生成的hdfs.keytab文件复制到hadoop配置路径下,并授权 后面经常会遇到使用keytab login失败的问题,首先需要检查的就是文件的权限。hive配置kerberos的前提是Hadoop集群已经配置好Kerberos,因此我们先来配置Hadoop集群的认证。输入规则和密码,,两次密码相同即可,我是用的是root。
Python通过kerberos安全认证操作kafka
竹筒小神
11-14 1万+
【坑】Python通过kerberos安全认证操作kafka 如何通过Kerberos认证. 1.安装Kerberos客户端 CentOS: yum install krb5-workstation 使用which kinit查看是否安装成功; 2.拷贝Kerberos配置文件 conf目录下krb5.conf和kafka.keytab和jaas.conf拷贝到客户端机器的etc目录, ...
kinit: KDC can‘t fulfill requested option while renewing credentials
jzy3711的博客
10-02 3750
1,检查配置文件/var/kerberos/krb5kdc/kdc.conf,在[realms]下需要有max_renewable_life = 7d。为啥推荐使用klist,执行命令需要和和klist中的Default principal: root@AM.COM对应。3.klist 查看cache文件 或者在/etc/krb5.conf中查看相应的配置文件,推荐使用klist。在测试集群上装上了kerberos,今天同事需要使用kinit -R 命令,在执行时报错。8.重新执行kinit -R成功。
[内网渗透]Kerberos 认证
weixin_47224111的博客
12-30 2982
Kerberos 认证 简介 Kerberos诞生与上个世纪九十年代,被广泛用于各大操作系统和Hadoop生态系统中。 kerberos的作用 kertberos提供了一种单点登录(SSO)的方法,在内网里有很多服务器,提供一个第三方可信的认证服务器,供其他服务器使用,这样任何客户端就只需要一个密码就能登录每个服务器。 Kerberos的角色(简化) 认证服务器(AS),客户端(Client),普通服务器(Server),客户端和服务器在AS的帮助下完成相互认证,在Kerberos系统里,客户端和服务器都有
Keberos认证过程
banana1006034246的博客
04-04 1548
Kerberos(/ˈkərbərəs/)是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。适用于客户服务模式。解决”某某声称自己是某某“的认证问题。它的模块包括: AS(Authentication Server)= 认证服务器 KDC(Key Distribution Center)= 密钥分发中心(含所有信任客户端的密码) TGT(Ticket Gran...
一文搞懂Kerberos
聚集机器学习、信息安全
03-13 4350
Kerberos一词来源于古希腊神话中的Cerberus——守护地狱之门的三头犬,Kerberos是为TCP/IP 网络设计的可信第三方鉴别协议,最初是在麻省理工学院(MIT)为Athena 项目而开发的。Kerberos服务起着可信仲裁者的作用,可提供安全的网络鉴别,允许个人访问网络中不同的机器。
Hadoop集群之开启kerberos安全认证
weixin_39060974的博客
03-07 8154
1.KDC节点 KDC节点上需要安装krb5-server、krb5-libs、krb5-auth-dialog、krb5-workstation服务,Client单独部署在其他节点 yum install krb5-server krb5-libs krb5-auth-dialog krb5-workstation -y 2.Client节点 Client节点上部署krb5-devel、krb5-workstation服务 yum install krb5-devel krb5-workst
kerberos使用
DCHAO的博客
08-22 3012
https://www.jianshu.com/p/69e6a2e7c648
Hadoop安全实践
一个有情怀的程序猿博客
07-14 1175
前言 在2014年初,我们将线上使用的 Hadoop 1.0 集群切换到 Hadoop 2.2.0 稳定版, 与此同时部署了 Hadoop 的安全认证。本文主要介绍在 Hadoop 2.2.0 上部署安全认证的方案调研实施以及相应的解决方法。 背景 集群安全措施相对薄弱 最早部署Hadoop集群时并没有考虑安全问题,随着集群的不断扩大, 各部门对集群的使用需求增加,集群安全问题就显得颇为重要。说到安全问题,一般包括如下方面: 用户认证(Authentication) 即是对用户身份进行核对, ..
Kerberos 安装与配置 (七)
Stay Focused And Work Hard !!!
08-09 1万+
7.1 KDC server的 安装1、安装最新版的KDC server ​ yum install krb5-server krb5-libs krb5-workstation 注:KDC (Key Distribution Center)密匙分配中心, 其在kerberos中通常提供两种服务: 1.Authentication Service (AS):认证服务
常见的 Kerberos 错误消息 (A-M)
Sabrina & Joshua Java Ivory Tower
06-27 930
本节按字母顺序 (A-M) 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息。   All authentication systems disabled; connection refused 原因: 此版本的 rlogind 不支持任何验证机制。 解决方法: 请确保调用的 rlogind ...
java keberos
10-28
Java Kerberos 是一个在 Java 平台上实现的网络认证协议,它...总之,Java Kerberos 提供了一种保护网络通信的强大工具,开发人员可以利用 Java Kerberos API 在 Java 应用程序中轻松地实现 Kerberos 认证和安全通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值