Keberos安全认证学习

最新推荐文章于 2025-03-22 12:15:22 发布
原创 最新推荐文章于 2025-03-22 12:15:22 发布 · 1.5k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨Kerberos网络认证协议,包括其角色概念、认证过程和在Hadoop安全机制中的应用。Kerberos通过TGT(Ticket Granting Ticket)和会话密钥确保用户和服务间安全通信。在Hadoop中,Delegation Tokens作为轻量级认证机制,用于减轻KDC的压力。理解Kerberos ticket和Hadoop token的生命周期对于管理认证至关重要。

因为,最近要做大数据组件的安全认证,需要涉及到kerberos这个组件,记录相关资料,后续查看。

Kerberos 是一种网络认证协议,它采用了传统的共享密钥的方式,实现了在网络环境不一定保证安全的环境下,client和server之间的通信,适用于client/server模型。用户只需输入一次身份验证信息,就可凭借此验证获得的票据授予票据(ticket-granting ticket)访问多个接入Kerberos的服务。

                                              

                                                                          图 1.1 Kerberos认证

Kerberos角色概念:

  1. AS(Authentication Server):认证服务器。KDC的一部分。通常会维护一个包含安全个体及其秘钥的数据库,用于身份认证
  2. KDC(Key Distribution Center):密钥分发中心。,是一个提供票据(tickets)和临时会话密钥(session keys)的网络服务。KDC服务作为客户端和服务器端信赖的第三方,为其提供初始票据(initial ticket)服务和票据授予票据(ticket-granting ticket)服务,前半部分有时被称为AS,后半部分有时则被称为TGS。
  3. TGT(Ticket Granting Ticket):票据授权票据,票据的票据。包含客户端ID、客户端网络地址、票据有效期以及client/TGS会话密钥(TGT是和Server无关的)
  4. TGS(Ticket Granting Server):票据授权服务器。KDC的一部分,根据客户端传来的TGT发放访问对应服务的票据
  5. SS(Service Server):特定服务提供端
  6. Principal:被认证的个体。(client principal/server principal: 分别表示客户端和服务器的名字,命名规则:主名称+实例+领域。例如:admin/admin@ZELDA.COM
  7. Ticket:票据,客户端用它访问对应服务。包含:用户名,IP,时间戳,有效期,会话秘钥
  8. Session key:会话密钥,指两个安全个体之间使用的临时加密秘钥,其时效性取决于单点登录的会话时间长短
  9. Keytab:以文件的形式呈现,存储了一个或多个Principal的长期的key。用途和密码类似,用于kerberos认证登录(让用户不需要明文的存储密码,和程序交互时不需要人为交互来输入密码)

认证过程

 开启安全认证后的认证方式有两种:

  • 使用密码认证:

使用用户密码通过kinit认证, 获取到的TGT存在本地凭证缓存当中, 供后续访问服务认证使用。一般在交互式访问中使用。

  • 使用 keytab 认证:

用户通过导出的keytab 可以免密码进行用户认证, 后续步骤一致。一般在应用程序中配置使用。

Kerberos的认证过程可细分为三个阶段:初始验证、获取服务票据和服务验证:

第一阶段主要是客户端KDC中的AS发送用户信息,以及请求TGT

  • 客户端向KDC发送自己身份,即提供用户名密码(避免频繁使用用户名密码,可以使用keytab这个密码本);
  • AS收到请求后,随机生成一个密码Session Key,简称为SK1(使用客户端的Master Key自己的Master Key进行加密),并返回给客户端两条消息:a)一个给客户端,b)另一个给TGS
  • 客户端通过自己的Master Key对第一部分进行解密获得SK1之后,以及TGS的密钥加密的TGT 。

TGT大体又包含以下的内容:

  • SK1:只在一段时间内有效的Short-term Key
  • End time: TGT到期的时间。
  • Client name & realm: 简单地说就是Domain name\Client;

                                

                                                                          1.2初始验证流程图

第二阶段客户端拿到之前获得的TGT(一个TGT可以从KDC获得基于不同Server的Ticket)向KDC中的TGS请求访问某个服务的票据

  1. 客户端在获得自己和KDC的SK1之后,生成自己的A       uthentication以及要访问的Server名称,并使用Session Key进行加密,连同TGT一同发送给KDC;
  2. KDC中的TGS首先检查KDC数据库中是否存在所需服务,若存在则使用自己的Master Key对TGT进行解密,提取客户端信息(Client Info)和SK1,然后,使用这个SK1解密Authenticator获得Client Info,对两个Client Info进行对比,进行身份验证。
  3. 若验证通过,TGS则使用SK1对客户端和服务端
最低0.47元/天 解锁文章
Kerberos安全认证-连载1-Kerberos简介
qq_32020645的博客
06-04 2745
数据安全防护及Kerberos简介
hadoop大数据安全管理:ldap、keberos、ranger
qq_41358574的博客
07-23 1841
hadoop大数据中认证一般用keberos,授权用ranger,kerberos和Ldap组件共同组成整个集群的安全鉴权体系,Ldap负责用户数据存储。kerberosKerberos 是一种网络认证协议,用于在不安全的网络中以安全的方式对用户和服务进行身份验证。它通过使用密钥加密技术来防止数据被窃听或篡改,确保了认证过程的安全性。kerberos所管理的一个用户或者服务叫Principal,其格式通常如下:primary/instance@realm。
大数据之Kerberos认证
m0_70949976的博客
05-15 6026
Kerberos 是一个网络身份验证协议,用于在计算机网络中进行身份验证和授权。它提供了一种安全的方式,允许用户在不安全的网络上进行身份验证,并获取访问网络资源的权限。
Keberos单点登录服务及其实现过程
weixin_43520214的博客
03-23 1万+
Part 1: Keberos 介绍 在计算机科学领域,Kerberos 是麻省理工学院Athena 项目的一部分。它之所以被命名为 Kerberos,是因为它涉及三个实体,很像三头狗,它们通过通信来确定客户端和服务器的身份。称为密钥分发中心(简称 KDC)的受信任第三方可帮助客户端和服务相互证明其身份。它是一个网络认证系统,解决了不可信网络中的两个重要问题: 它允许用户仅使用一个密码访问所有资源(例如打印机、服务)。 它加密通过网络传递的消息并确保消息的完整性。我们将在接下来的课程中..
Datax从入门到精通03--Kerberos认证问题处理
欲望以提升热忱 毅力以磨平高山
09-03 8188
文章目录前言一、Kerberos认证问题二、解决方案一1.修改Json文件2. 配置文件3. 重新编译打包三、解决方案二总结 前言 如果没有使用kerberos认证的Hadoop集群直接参照官方文档就好了,但是如果使用了kerberos安全认证的,那么接下来是一个比较值得推荐的做法。 一、Kerberos认证问题 有关Kerberos认证相关的问题这里不展开讲,有需要的小伙伴可以自行百度,这里主要讲下使用datax抽数从个MySQL到Hive的kerberos认证问题处理解决办法。 二、解决方案一
Kerberos认证协议介绍
lonelymanontheway的博客
10-19 2097
概述、特性、原理、概念、步骤、Authentication Service Exchange、Ticket Granting Service Exchange、Client/Server Exchange、 总结、实战、安装
Kerberos协议详解
热门推荐
李同學的安全圈
09-13 1万+
Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全,Kerberos侧重于通信前双方身份的认定工作,帮助客户端以及服务端验证是真正的自己并非他人,从而使得通信两端能够完全信任对方的身份,在一个不安全的网络中完成一次安全的身份认证继而进行安全的通信。Kerberos是一种计算机网络认证协议,其设计目标是通过密钥系统为网络中通信的客户机(Client)/服务器(Server)应用程序提供严格的身份验证服务,确保通信双方身份的真实性和安全性。
安全认证Kerberos详解
Shawn的个人博客
04-16 9821
Kerberos是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。
AD域内网渗透 - Keberos认证
最新发布
qq_33522010的博客
03-22 905
Keberos在希腊神话中,是Hades的一条凶猛的三头保卫神犬。从Windows Server 2003以来,Kerberos 一直被用作AD域中的主要身份验证机制。作为后续学习AD域内网渗透中一些攻击技术,我们需要理解这个认证体系。
hive配置Kerbros安全认证_hive kereveros
2401_84264610的博客
04-26 841
合并成一个keytab文件,rkt表示展示,wkt表示写入。注意:ktutil:以后面的是输入的。#生成密钥文件(生成到当前路径下)
Kerberos安全认证-连载10-Hive Kerberos 安全配置及访问_idea连接 kerberos 认证的hiveserver2
2401_85238540的博客
07-21 1052
hiveserver2 keytab密钥文件路径hivemetastore 开启kerberos认证truemetastore kerberos主体metastore keytab密钥文件路径```以上配置分发到Hadoop各个集群节点后,将hdfs配置文件hdfs-site.xml,core-site.xml 发送到客户端和服务端HIVE_HOME/conf/目录中。​​​​​​​。
hive配置Kerbros安全认证_hive kereveros(1)
2401_84264610的博客
04-26 605
因为服务器上可以访问keytab文件即可以以principal的身份通过kerberos的认证,所以,keytab文件应该被妥善保存,应该只有少数的用户可以访问。将生成的hdfs.keytab文件复制到hadoop配置路径下,并授权 后面经常会遇到使用keytab login失败的问题,首先需要检查的就是文件的权限。hive配置kerberos的前提是Hadoop集群已经配置好Kerberos,因此我们先来配置Hadoop集群的认证。输入规则和密码,,两次密码相同即可,我是用的是root。
全网最详细 | Kerberos协议详解
Ms08067安全实验室
02-27 8029
目录Kerberos基础PAC特权属性证书1. PAC结构2. PAC凭证信息3. PAC签名4. KDC验证PAC5. PAC在kerberos中的优缺点Kerberos实验AS-REQ & AS-REP1. AS-REQ请求包分析2. AS-REP回复包分析 (1) TGT认购权证 (2) Lo...
Kerberos从入门到精通以及案例实操系列(一)
prefect_start的博客
06-05 6984
整个kerberos认证的过程较为复杂,三次通信中都使用了密钥,且密钥的种类一直在变化,并且为了防止网络拦截密钥,这些密钥都是临时生成的Session Key,即他们只在一次Session会话中起作用,即使密钥被劫持,等到密钥被破解可能这次会话都早已结束,这为整个kerberos认证过程保证了较高的安全性。kerberos认证的整体流图kerberos认证的时序图本地登录(无需认证)远程登录(需进行主体认证,认证操作见下文)退出输入:exit2. 创建Kerberos主体。
01、Kerberos安全认证之原理及搭建命令使用学习笔记
每个人都是独一无二的,把握好自己的节奏,跟着自己的心走。
07-11 2634
学习kerberos主要原因是目前部门里会有测试kerberos连通性的问题bug,所以以此来系统学习下kerberos安全认证,主要是学习在kerberos安全配置下如何去访问各个大数据组件。
Kerberos认证协议详解——基础篇
weixin_42497762的博客
09-10 3320
本文还有配套的精品资源,点击获取 简介:Kerberos是一种网络认证协议,通过第三方认证服务器实现用户与服务器之间的安全交互。本文将详细介绍Kerberos的基本原理、工作流程及其在实际应用中的重要性。文章首先介绍Kerberos的简介、工作原理和组件,然后讨论其优势、应用场景以及面临的挑战与改进。Kerberos在企业网络环境和一些软件服务中得到了广泛应用,对于网络安全...
Kerberos认证原理与使用教程
m0_46168848的博客
02-21 1万+
Kerberos认证原理与使用教程
大数据权限认证 Kerberos 部署
u011047968的专栏
03-01 2938
Kerberos是一种网络身份验证协议,旨在支持使用密钥加密的客户端/服务器应用程序的强大身份验证。Kerberos 为网络资源提供最高级别的安全性。Kerberos 应用客户端/服务器体系结构并支持用户到服务器的身份验证,而不是主机到主机的身份验证。在此模型中,安全性和身份验证将取决于密钥技术,其中网络上的每个主机都有自己的密钥。
kerberos简介
HHFQ的博客
05-04 4255
维护网络内的系统安全性和完整性至关重要,它涵盖了网络基础架构中的每个用户,应用程序,服务和服务器。 它需要了解网络上正在运行的所有内容以及这些服务的使用方式。 维护此安全性的核心是维护对这些应用程序和服务的访问并强制执行该访问。 Kerberos是一种比普通的基于密码的认证更加安全的认证协议。使用Kerberos,即使在其他计算机上访问服务时也永远不会通过网络发送密码。 Kerberos提供了一种机制,允许用户和机器向网络标识自己,并接收对管理员配置的区域和服务的定义的、受限的访问权限。Kerberos通过
java keberos
10-28
Java Kerberos 是一个在 Java 平台上实现的网络认证协议,它使用密钥分发中心(KDC)来实现双方认证与密钥分发。Kerberos 协议旨在提供强大的身份验证和加密通信,可以保护网络中的数据传输安全。 Java Kerberos 提供了 Kerberos 客户端和 Kerberos 服务端的 API,使得开发人员可以使用 Java 语言轻松地实现 Kerberos 协议的集成。通过 Java Kerberos,我们可以在 Java 应用程序之间进行安全的身份验证和通信。 使用 Java Kerberos,首先需要进行以下步骤: 1. 安装与配置 Kerberos 服务端:要使用 Java Kerberos,需要安装和配置一个 Kerberos 服务端,这个服务端将负责生成并验证 Kerberos TGT(票据授权票)和服务票据。 2. 配置 Java 客户端:在 Java 应用程序中,需要配置 Kerberos 客户端以连接到 Kerberos 服务端。配置包括指定 KDC 的主机名和端口号,以及指定 Realm(领域)。 3. 实现 Kerberos 认证逻辑:在 Java 应用程序代码中,需要集成 Kerberos API,并实现认证逻辑。这些逻辑包括: - 客户端请求 TGT:客户端向 Kerberos 服务端发送身份验证请求,获取 TGT。 - 客户端使用 TGT 请求服务票据:客户端使用 TGT 向 Kerberos 服务端请求服务票据,这会导致服务票据被返回给客户端。 - 服务端验证票据:服务端接收到客户端发送的服务票据请求,对票据进行验证,并向客户端发送成功或失败的响应。 4. 安全通信:一旦身份验证和票据交换完成,Java 应用程序间就可以使用安全的通信协议(如 SSL/TLS)进行加密通信。 总之,Java Kerberos 提供了一种保护网络通信的强大工具,开发人员可以利用 Java Kerberos API 在 Java 应用程序中轻松地实现 Kerberos 认证和安全通信。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值