Kerberos认证问题的调试试验

最新推荐文章于 2025-06-27 18:47:07 发布
原创 最新推荐文章于 2025-06-27 18:47:07 发布 · 6k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #解密 #windows #authentication #microsoft #asp.net

本文详细介绍了Kerberos认证流程,并针对客户端反复出现认证窗口的问题进行调试。通过网络抓包、系统日志分析及注册表设置,定位到SPN注册账户与服务器服务账户不一致导致的KRB_AP_ERR_MODIFIED错误。解决方案包括调整内核认证模式或修改SPN设置,确保两者匹配。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Kerberos作为一种windows推荐的集成认证方式被广泛的应用,也有很多文章介绍Kerberos认证方式,这里通过一个Kerberos认证问题的调试试验来介绍一下Kerberos的认证流程以及相关的调试工具和方法。

Kerberos认证流程

总的来说Kerberos是通过统一的认证服务器来对客户端进行认证,认证成功后客户端才能取得访问真正服务器的凭据。所以认证流程中涉及了三个方面如下图所示。

客户端 - Client
凭据分发中心 - Key Distribution Center (包含认证服务和凭据分发服务)
服务器 - Server

认证流程(简化版)
第一步,客户端与认证服务通信,认证自己后得到访问凭据分发服务的session key
第二步,客户端与凭据分发服务通讯,得到他要访问的具体服务相应的凭据
第三步,客户端与服务器相互认证后,请求真正的服务器相关服务

当然这个过程中每个请求都包含的信息非常复杂,如果要具体了解可以参考这里
http://msdn.microsoft.com/en-us/library/ff647076.aspx

为什么客户端在第二步的时候可以得到具体的服务相应的的凭据,而不是整个服务器的凭据,这个是通过SPN (service principle name)来实现的。SPN注册在DC上面,SPN的格式一般为
服务类型名/主机名:端口号 注册用户
例如 Http/dof2008-01:8080 www.dof.com\dof02

正是因为有了SPN客户端请求的时候会确定其访问的服务类型,以及相应的主机名和端口号,这样凭据分发服务就可以在DC上面查找到相应的注册

最低0.47元/天 解锁文章

200万优质内容无限畅学
Web-拾贝
oscar999的专栏
03-10 1万+
JavaScript MVC框架PK:Angular、Backbone、CanJS与Emberhttp://www.csdn.net/article/2013-04-25/2815032-A-Comparison-of-Angular-Backbone-CanJS-and-Ember一个好的js method 方法查询的网站, 有browser兼容的介绍http://help.dottoro.co...
ubuntu10.04 安装共享打印机(CUPS)
cca306的博客
06-15 3868
1、安装打印机驱动      系统-系统管理-打印 添加 选canon-ix50002、安装cups      sudo apt-get install cupsys3、调试      http://127.0.0.1:631/printers 打开管理页面 4、在其他电脑上添加网络打印机     http://192.168.2.188:631/printers/canon-ix50005、关于
0005-Windows Kerberos客户端配置并访问CDH
Hadoop_SC的博客
11-15 1856
温馨提示:要看高清无码套图,请使用手机打开并单击图片放大查看。 1.概述 本文档描述Windows Server2008 R2(windows的内核版本是6.1,与windows 7相同)下安装Kerberos Client及FireFox下HTTP访问HDFS、Yarn、Hive、HBase等Hadoop服务的Web UI(如Namenode的50070,Yarn的8088)的过程。安装文档...
Kerberos 深入详解:原理、认证流程与应用场景
最新发布
PwnGuo的博客
06-27 1267
Kerberos认证协议在企业大数据平台中的应用 Kerberos是一种基于对称密钥加密的网络身份认证协议,通过可信第三方KDC实现安全认证而不传输明文密码。其核心流程包含三个阶段:用户认证获取TGT票据、获取服务票据以及服务端验证。在企业Hadoop集群中,Kerberos被用于实现统一认证,所有客户端访问HDFS前必须经过完整认证流程,包括NameNode和DataNode在内的服务节点都需要配置专属服务主体和keytab文件。该机制通过KDC作为根信任中心,构建了完整的认证信任链,确保只有获得有效票据
kerberosKerberos 调试
Mrerlou的博客
11-02 930
使用 Apache Hadoop 的用户通常通过 Kerberos 进行身份验证,如此处所述。第四个命令 KDiag 相对较新,因为它是在 HADOOP-12426 中引入的,并在 Apache Hadoop 2.8.0 中首次发布。此命令将一些其他调试工具合并为一个,并检查常见的与 Kerberos 相关的错误配置。如有必要,它们也可以组合使用。使用正确的日志,可以调试问题并快速解决问题。第一个命令采用用户主体,并将根据配置的hadoop.security.auth_to_local规则返回用户名。
Kerberos打开debug日志
木木与呆呆的专栏
04-28 5087
在JVM的启动参数中加入如下配置,打开kerberos的debug开关: -Dsun.security.krb5.debug=true JVM启动后,kerberos的相关日志会打印到控制台中, 因为java中kerberos的日志是使用system.println打印的。 下面以hadoop开启kerberos的debug日志举例: /hadoop-2....
Kerberos对hadoop进行错误调测debug
周源的专栏
09-27 1228
先执行如下命令: export HADOOP_OPTS="-Djava.net.preferIPv4Stack=true -Dlog.enable-console=true -Dsun.security.krb5.debug=true ${HADOOP_OPTS}" export HADOOP_ROOT_LOGGER=DEBUG,console 再执行hadoop操作: had
信息安全学习笔记(计算机三级)
qq_45418203的博客
02-17 2915
本文章根据B站视频【【杨冬信安】2023年软考信息安全工程师必考知识点(每日1背)】 https://www.bilibili.com/video/BV1VS4y127Hc/?share_source=copy_web&vd_source=cfaee2d6b4ce1389cc9a101338395e4d进行学习而产生的笔记,虽然是软考必背,但其实我考的是计算机三级信息安全技术。考过了准备把笔记发出来,下面有些知识点是“未来教育”题库里面记下的。如有不对,欢迎各位大佬指正。
火花
02-19
10. **Spark安全性**:Spark支持安全模式,例如通过Kerberos认证进行身份验证,以及HTTPS进行加密通信,以保护数据安全。 11. **Spark与其他系统的集成**:Spark可以与Hadoop、Cassandra、Hive、Kafka等多种数据源...
LINUX下的kerberos的安装配置
05-05
kerberos是由mit开发的提供网络认证的系统。使用kerberos自己提供的ktelnetd、krlogind、krshd来替换传统的telnetd、rlogind、rshd服务。
flink写入带kerberos认证的kudu connector
03-24
flink写入带kerberos认证的kudu connector
kafka 配置kerberos安全认证
01-28
这个里面是kafka配置kerberos的详细步骤,其方式也可以应用到kafka自带的认证体系
Apache Hive+Kerberos安装配置及 Kettle(Pentaho)访问带 Kerberos 认证的 Hive的集成
Yore - Home
07-07 7246
本文重点介绍了客户端如何访问带有 Kerberos 认证的 Hive,其中客户端工具以 Kettle 和 DBeaver 为例。为了详细介绍整个过程,本文又介绍了如何基于 Apache 版本的 Hadoop 和 Hive 搭建带有 Kerberos 认证的大数据集群。Kerberos 客户端环境重点以 Windows 为例,因此也介绍了在 Windows 系统下如何安装 和使用 Kerberos。最后经过修改 DBeaver 和 Kettle 启动脚本,从而成功访问带有 Kerberos 认证的 Hive
kerberos-2.datagrip(jdbc)连接hive kerberos
github_39319229的博客
01-16 3900
拿到认证所需要的服务器keytab文件 例如需要访问hive,则首先需要hive权限的秘钥文件,默认地址为/etc/security/keytabs/ 最好使用服务端hive的jdbc驱动进行连接,防止版本兼容问题。 编写安全服务文件 创建一个文件用来登录验证 com.sun.security.jgss.initiate{ com.sun.security.auth.module.Krb5LoginModule required useKeyTab=true use.
【kettle】pdi/data-integration 集成kerberos认证连接hdfs、hive或spark thriftserver
lisacumt的专栏
01-02 1897
pdi/data-integration 集成kerberos认证连接hdfs、hive或spark thriftserver。含hadoop conf和kerberos认证工具类。
Kerberos认证流程
weixin_35016347的博客
08-01 729
原理:A、B共享一个秘密secret,A通过提供这个秘密secret,向B证明自己是A 协议包含三个部分,如下: Sequence画图网址:https://www.websequencediagrams.com 新增了一个子协议——User2User Sub-Protocol:有效保障Server的安全,避免传输Server Master Key 更新后的流程大概如下: 1. C...
域渗透 | kerberos认证及过程中产生的攻击
st3pby的博客
02-20 7445
Windows认证一般包括本地认证(NTLM HASH)和域认证kerberos)。认证的原理网上有很多文章。如果喜欢听视频课程的话,这里推荐倾旋师傅的分享课本篇文章主要内容是Kerberos认证过程中产生的攻击。Kerberos是由麻省理工学院提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。Kerberos协议有两个基础认证模块:和,以及微软扩展的两个认证模块S4U和PAC。kerberos是一种基于票据的认证方式。
内网安全:非约束委派 约束委派 资源约束委派
qq_50854662的博客
06-03 325
内网安全:非约束委派 约束委派 资源约束委派
Kerberos认证系统的设计原理与实现方法
Kerberos 认证系统是一种广泛使用的计算机网络认证协议,它通过密钥加密技术为客户端和服务器提供安全的认证方法。Kerberos 由麻省理工学院(MIT)首次开发,并以希腊神话中的守门犬“Cerberus”命名。本篇论文详细...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值