Kerberos认证问题的调试试验

最新推荐文章于 2024-09-24 16:36:58 发布
原创 最新推荐文章于 2024-09-24 16:36:58 发布 · 6k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #解密 #windows #authentication #microsoft #asp.net

本文详细介绍了Kerberos认证流程,并针对客户端反复出现认证窗口的问题进行调试。通过网络抓包、系统日志分析及注册表设置,定位到SPN注册账户与服务器服务账户不一致导致的KRB_AP_ERR_MODIFIED错误。解决方案包括调整内核认证模式或修改SPN设置,确保两者匹配。
Kerberos作为一种windows推荐的集成认证方式被广泛的应用,也有很多文章介绍Kerberos认证方式,这里通过一个Kerberos认证问题的调试试验来介绍一下Kerberos的认证流程以及相关的调试工具和方法。

Kerberos认证流程

总的来说Kerberos是通过统一的认证服务器来对客户端进行认证,认证成功后客户端才能取得访问真正服务器的凭据。所以认证流程中涉及了三个方面如下图所示。

客户端 - Client
凭据分发中心 - Key Distribution Center (包含认证服务和凭据分发服务)
服务器 - Server

认证流程(简化版)
第一步,客户端与认证服务通信,认证自己后得到访问凭据分发服务的session key
第二步,客户端与凭据分发服务通讯,得到他要访问的具体服务相应的凭据
第三步,客户端与服务器相互认证后,请求真正的服务器相关服务

当然这个过程中每个请求都包含的信息非常复杂,如果要具体了解可以参考这里
http://msdn.microsoft.com/en-us/library/ff647076.aspx

为什么客户端在第二步的时候可以得到具体的服务相应的的凭据,而不是整个服务器的凭据,这个是通过SPN (service principle name)来实现的。SPN注册在DC上面,SPN的格式一般为
服务类型名/主机名:端口号 注册用户
例如 Http/dof2008-01:8080 www.dof.com\dof02

正是因为有了SPN客户端请求的时候会确定其访问的服务类型,以及相应的主机名和端口号,这样凭据分发服务就可以在DC上面查找到相应的注册

最低0.47元/天 解锁文章
Web-拾贝
oscar999的专栏
03-10 1万+
JavaScript MVC框架PK:Angular、Backbone、CanJS与Emberhttp://www.csdn.net/article/2013-04-25/2815032-A-Comparison-of-Angular-Backbone-CanJS-and-Ember一个好的js method 方法查询的网站, 有browser兼容的介绍http://help.dottoro.co...
Kerberos抓包排错的一般方法
weixin_30379531的博客
12-11 401
1. Server和Client同时抓包。 2. Netmon里使用http过滤,可以通过Request/Response快速判定server IP和Client IP。 3. 利用protocols.kerberosV5过滤,可以快速找到Kerberos相关packet。 4. 开启Server端的Kerberos的system log,结合抓包显示的信息,可以快速定位Kerberos错误...
0005-Windows Kerberos客户端配置并访问CDH
Hadoop_SC的博客
11-15 1895
温馨提示:要看高清无码套图,请使用手机打开并单击图片放大查看。 1.概述 本文档描述Windows Server2008 R2(windows的内核版本是6.1,与windows 7相同)下安装Kerberos Client及FireFox下HTTP访问HDFS、Yarn、Hive、HBase等Hadoop服务的Web UI(如Namenode的50070,Yarn的8088)的过程。安装文档...
kerberosKerberos 调试
Mrerlou的博客
11-02 1088
使用 Apache Hadoop 的用户通常通过 Kerberos 进行身份验证,如此处所述。第四个命令 KDiag 相对较新,因为它是在 HADOOP-12426 中引入的,并在 Apache Hadoop 2.8.0 中首次发布。此命令将一些其他调试工具合并为一个,并检查常见的与 Kerberos 相关的错误配置。如有必要,它们也可以组合使用。使用正确的日志,可以调试问题并快速解决问题。第一个命令采用用户主体,并将根据配置的hadoop.security.auth_to_local规则返回用户名。
Kerberos打开debug日志
木木与呆呆的专栏
04-28 5167
在JVM的启动参数中加入如下配置,打开kerberos的debug开关: -Dsun.security.krb5.debug=true JVM启动后,kerberos的相关日志会打印到控制台中, 因为java中kerberos的日志是使用system.println打印的。 下面以hadoop开启kerberos的debug日志举例: /hadoop-2....
Kerberos对hadoop进行错误调测debug
周源的专栏
09-27 1261
先执行如下命令: export HADOOP_OPTS="-Djava.net.preferIPv4Stack=true -Dlog.enable-console=true -Dsun.security.krb5.debug=true ${HADOOP_OPTS}" export HADOOP_ROOT_LOGGER=DEBUG,console 再执行hadoop操作: had
火花
02-19
10. **Spark安全性**:Spark支持安全模式,例如通过Kerberos认证进行身份验证,以及HTTPS进行加密通信,以保护数据安全。 11. **Spark与其他系统的集成**:Spark可以与Hadoop、Cassandra、Hive、Kafka等多种数据源...
ubuntu10.04 安装共享打印机(CUPS)
cca306的博客
06-15 4212
1、安装打印机驱动      系统-系统管理-打印 添加 选canon-ix50002、安装cups      sudo apt-get install cupsys3、调试      http://127.0.0.1:631/printers 打开管理页面 4、在其他电脑上添加网络打印机     http://192.168.2.188:631/printers/canon-ix50005、关于
Pivotal Greenplum 5.11.0 发布
Greenplum中文社区
09-18 429
Greenplum 5.11介绍 ...
LINUX下的kerberos的安装配置
05-05
kerberos是由mit开发的提供网络认证的系统。使用kerberos自己提供的ktelnetd、krlogind、krshd来替换传统的telnetd、rlogind、rshd服务。
Kerberos认证流程详解
热门推荐
jewes的专栏
03-08 5万+
Kerberos是诞生于上个世纪90年代的计算机认证协议,被广泛应用于各大操作系统和Hadoop生态系统中。了解Kerberos认证的流程将有助于解决Hadoop集群中的安全配置过程中的问题。为此,本文根据最近阅读的一些材料,详细介绍Kerberos认证流程。欢迎斧正!
Windows事件日志】Kerberos_4 N/A
mintazoedeng的专栏
03-14 2884
(原文http://www.microsoft.com/technet/support/ee/transform.aspx?ProdName=Windows%20Operating%20System&ProdVer=5.2&EvtID=4&EvtSrc=Kerberos&LCID=1033) 详细 产品: Windows操作作系统
Windows事件日志】【WindowsServer2003】Kerberos_4 N/A
mintazoedeng的专栏
04-11 2073
(原文:http://support.microsoft.com/kb/558115) 摘要: 下面的文章将帮助您解决错误“Kerberos客户端收到来自服务器的一个KRB_AP_ERR_MODIFIED错误” 症状: 在访问NLB虚拟IP/NLB虚拟名称期间, 用户可能会提示要用户名和密码, 同时下面的错误可能会被写到本地系统事件日志中: 事件ID: 4 事件
底层抓包分析kerberos协议
jjjj1029056414的博客
07-07 741
抓包从底层分析协议
记录一次学习--kerberos协议学习以及一些攻击手法
最新发布
banliyaoguai的博客
09-24 1373
AS_REQ:客户端向KDC(密钥分发中心)发起AE_REQ请求,请求的凭据是用自己hash加密的时间戳。AS_REP:KDC使用客户端的密钥进行解密解密成功且时间戳并没有过期。则发放TGT票据(使用krbtgt的hash进行加密,krbtgt是用户分发中心的账户),TGT里面有PAC,PAC里面有客户端的sid(域管理员500,可以类比llinux中suid),和客户端所在组。然后如果TGT中PAC里面的客户端权限够高,就可以请求所有服务。这个TGT就是黄金票据。
Kerberos 学习笔记
weixin_34381687的博客
11-12 248
最近在工作中调试vmware identity manager产品的SSO功能,有机会深入了解了一下Kerberos的工作原理,随笔记录一下,以作将来回顾之用。 什么是Kerberos,参看wiki-https://en.wikipedia.org/wiki/Kerberos_(protocol)。简单说Kerberos是一种网络认证协议,它是...
【安全】Kerberos相关问题进行故障排除| 常见错误和解决方法
九师兄
01-07 3万+
1.概述 转载 为了学习:Kerberos相关问题进行故障排除| 常见错误和解决方法 2.总结 可以用来帮助诊断Kerberos相关问题的原因并实施解决方案的指南。 3. 症状 单击症状链接转到相应的疑难解答部分。 2.1 Kerberos tgt javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: F.
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值