SSO-文档收藏之Kerberos(三)-kerberos5原理与操作

最新推荐文章于 2020-08-31 19:18:47 发布
最新推荐文章于 2020-08-31 19:18:47 发布 · 445 阅读 · 0
文章标签:

#SSO #FreeBSD #SSH #网络协议 #网络应用

本文详细介绍了Kerberos认证协议的原理及应用,包括其在Linux环境下的安装配置过程,并演示了如何使用Kerberos进行telnet、ssh和ftp服务的安全认证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

上海汉中技术论坛 → 技术交流 → Linux → kerberos原理

baiyuliu
等级:版主
文章:56
积分:588
注册:2006年12月19日

2007-6-29 22:04:16

 

第一部分 Kerberos 协议介绍
  1.Kerberos 协议简介
    在希腊神话中, Kerberos是守护地狱之门的三头狗。在计算机世界里,美国麻省理工学院(MIT)把他们开发的这一网络认证系统命名为 Kerberos。 Kerberos认证协议是由美国麻省理工学院(MIT)在80年代首先提出并实现的,是该校Athena计划的一部分。因为Kerberos是一个三方认证协议,根据称为密匙分配中心(KDC)的第三方服务中心来验证网络中计算机相互的身份,并建立密匙以保证计算机间安全连接。Kerberos协议基本上是可行的并且有效的。KDC有两个部分组成:认证服务器AS和票据授权服务器TGS。Kerberos是一种网络认证协议,允许一台计算机通过交换加密消息在整个非安全网络上与另一台计算机互相证明身份。一旦身份得到验证,Kerberos协议将会给这两台计算机提供密匙,以进行安全通讯对话。Kerberos协议可以认证试图等录上网用户的身份,并通过使用密匙密码为用户间的通信加密。总的来说,Kerberos 是一种基于私钥加密算法的,需要可信任的第三方作为认证服务器的网络认证系统。它允许在网络上通讯的实体互相证明彼此的身份,并且能够阻止旁听和重放等手段的攻击。不仅如此,它还能够提供对通讯数据保密性和完整性的保护。
  Kerberos从提出到今天,共经历了五个版本的发展。其中版本1到版本3主要由该校内部使用。当它发展到版本4的时候,已经取得了在MIT校园外的广泛认同和应用。由于版本4的传播,人们逐渐发现了它的一些局限性和缺点(例如适用网络环境有限, 加密过程存在冗余等等).MIT充分吸收了这些意见,对版本4进行了修改和扩充,形成了今天非常完善的版本5。现在可以MIT提供的Kerberos V5的最新实现是版本krb5 1.3.3,本文中提到的实现都是以它为依据的。  
  2.Kerberos协议术语解释
  Principal:在Kerberos中,Principal是参加认证的基本实体。一般来说有两种,一种用来表示Kerberos数据库中的用户, 另一种用来代表某一特定主机,也就是说Principal是用来表示客户端和服务端身份的实体, Principal的格式采用ASN.1标准,即Abstract Syntax Notation One,来准确定义),Principal是由三个部分组成:名字(name),实例(instance),REALM(域)。比如一个标准的 Kerberos的用户是:name/instance@REALM 。
  Name:第一部分。在代表客户方的情况,它是一个用户名;在代表主机的情况,它是写成host。  
  Instance:第二部分。对name的进一步描述,例如name所在的主机名或name的类型等,可省略。它与第一部分之间用‘ / ’分隔,但是作为主机的描述时写成host/Instance。  
   Realm:第三部分。是Kerberos在管理上的划分,在 KDC中所负责的一个域数据库称作为Realm。这个数据库中存放有该网络范围内的所有Principal和它们的密钥,数据库的内容被Kerberos 的认证服务器AS和票据授权服务器TGS所使用。Realm通常是永远是大写的字符,并且在大多数Kerberos系统的配置中,一般Realm和该网络环境的DNS域是一致的。与第二部分之间用‘@’分隔,缺省为本地的Realm。
  比如,Principal “ cnhawk/hawk.the9.com@THE9.COM ” 表示Realm “ THE9.COM ”中主机hawk.the9.com上的用户cnhawk ,而Principal “ host/hawk.the9.com @THE9.COM ” 则通常用来表示Realm “ THE9.COM”中主机hawk.the9.com。
  Credential:Ticket和与它相联系的会话密钥合在一起称为Credential。之所以有这个概念是因为它们是客户端在向服务器证明自己的身份时必需的两样东西.在一个Ticket的生存期内客户端会将这两样东西以Credential为单位保存在一个Cache文件中。
  Ticket:一 个Ticket是一个用于安全的传递用户身份所需要的信息的集合。它不仅包含该用户的身份,而且包含其它一些相关的信息。一般来说,它主要包括客户方 Principal,目的服务方Principal,客户方IP地址,时间戳(分发该Ticket的时间),该Ticket的生存期,以及会话密钥等内 容。它的格式亦用ASN.1来准确定义。
  Authenticator: 在客户端向服务端进行认证时,伴随Ticket一起发送的另外一个部分,它的作用是证明发送Ticket 的用户就是拥有Ticket的用户,即防止重放攻击。它的主要内容是一个时间戳(客户端发送Ticket的时间),在rfc1510中有它的完整的 ASN.1定义。
  AS(Authentication Server): 为用户分发TGT(Ticket Granting Ticket)的服务器。
  TGT(Ticket Granting Ticket): 用户向TGS(Ticket Granting Server)证明自己身份的Ticket.
  TGS(Ticket Granting Server):为用户分发到最终目的Ticket的服务器,用户使用这个Ticket向自己要求提供服务的服务器证明自己的身份。在实现上,AS和 TGS实际上是由同一程序完成的,因为它们的实现机制并没有太大的差别,只是在加密所发出的Ticket时所使用的密钥不同(AS使用用户的密钥,而 TGS使用会话密钥)。
  KDC(Key Distribution Center):密钥发放中心,通常将AS和TGS统称为KDC,有时也把AS 单独称为KDC。
  3.认证过程
  1) Client → KDC:用户cnhawk向密钥分配中心(KDC)申请TGT;
  2) KDC → Client:通过KDC的用户密码认证,cnhawk得到KDC发放的TGT;
  3) Client → KDC:申请取得用户cnhawk所需要的host/s;
  4) KDC → Client:KDC根据用户cnhawk提供的TGT,KDC向cnhawk发放host/s;
  5) Client → Server:用户cnhawk向Server提供cnhawk,TGT和host/s ;Server根据主机的上保存的host/s和用户cnhawk的信息来验证cnhawk的登陆申请。
  6) Server → Client:Server确认,发送信息给Client允许cnhawk登陆Server。
  4.一个应用实例
  为了更清楚的说明Kerberos 5认证协议,实际应用中的例子(具体例子可以在我们后边的实际应用中看到):假设某一局域网A,它的DNS域为the9.com;Realm为 THE9.COM;Kerberos的数据库,AS以及TGS服务器都在主机test1.the9.com上。A中主机test2.the9.com上的用户cnhawk对应的Principal为cnhawk/test2.the9.com@THE9.COM;A中的另一台主机 test3.the9.com上的telnet服务器对应的Principal为host/test3.the9.com@THE9.COM。 Rlogin的客户端程序telnet和服务端程序telnetd都是支持Kerberos的,即都支持Kerberos认证协议。cnhawk想用 telnet远程登录到A中的另一台主机test3.the9.com上这时cnhawk所要完成的步骤是:
  ① 运行kinit程序。kinit程序的作用是向AS申请TGT,并将获得的TGT和会话密钥放在保存Credential的文件中。为此,cnhawk在命令行上键入:
  % kinit cnhawk/test1.the9.com
  kinit程序在收到AS发回的消息后,就提示cnhawk输入password:
  % kinit cnhawk/test1.the9.com

cnhawk/test1.the9.com@THE9.COM's Password:
  在cnhawk正确的输入password后,kinit程序将这个password用约定的算法转化为cnhawk的密钥,并用这个密钥解密从TGS 发回的消息,从而获得下一步使用的Credential。到此,kinit程序结束。由此可见,cnhawk的password并没有在网上传输,在网上 传输的只是由cnhawk的密钥加密后的东西。
  ② 运行telnet的客户端程序telnet,为此cnhawk在命令行上键入:
  test1# telnet -a -l cnhawk test3.the9.com telnet程序首先在保存Credential的文件中寻找未过期的TGT,并把它交给TGS,从而获得访问test3.the9.com上 rlogin服务的Ticket。接下来,它把这个Ticket和Authenticator一起发送给test3.the9.com的服务器程序 telnetd。telnetd在验证了cnhawk的身份后,就搜索本地cnhawk主目录下的文件“.k5login”,在“.k5login”文件 中放有允许用rlogin远程登录到cnhawk帐户下的Principal。在找到了cnhawk/test1.the9.com@THE9.COM之 后,telnetd就申请一个虚拟终端,并fork一个shell,这时在test1.the9.com的终端上就会显示:
  test1# telnet -a -l cnhawk test3.the9.com
  Trying test3.the9.com...
  Connected to test3.the9.com.
  Escape character is '^]'.
  [ Trying mutual KERBEROS5 (host/test3.the9.com@THE9.COM)... ]
  [ Kerberos V5 accepts you as `` cnhawk/test1.the9.com@THE9.COM'' ]
  FreeBSD/i386 (test3.the9.com) (ttyp1)
  %id
  uid=1001(cnhawk) gid=0(wheel) groups=0(wheel)

 

  第二部分 Kerberos 5安装和应用

1.系统安装
需要安装两台FreeBSD 5.2.1的系统,一台FreeBSD 4.9 三个系统我是用虚拟机上安装的。
测试机A
操作系统:FreeBSD test1.the9.com 5.2.1-RELEASE FreeBSD 5.2.1-RELEASE

#0: Mon Feb 23 20:45:55 GMT 2004 root@wv1u.btc.adaptec.com:/usr/obj/usr/src/sys/GENERIC i386
  IP地址:192.168.0.2
  机器名:test1.the9.com
  测试机B
  操作系统:FreeBSD test2.the9.com 4.9-RELEASE FreeBSD 4.9-RELEASE #0: Mon Oct 27 17:51:09 GMT 2003 root@freebsd-stable.sentex.ca:/usr/obj/usr/src/sys/GENERIC i386
  IP地址:192.168.0.3
  机器名:test2.the9.com
  测试机C :
  操作系统:FreeBSD test3.the9.com 5.2.1-RELEASE FreeBSD 5.2.1-RELEASE #0: Mon Feb 23 20:45:55 GMT 2004 root@wv1u.btc.adaptec.com:/usr/obj/usr/src/sys/GENERIC i386
  IP地址:192.168.0.1

用户添加完成以后进行本地测试。
  hawk# kinit cnhawk/test1.the9.com@THE9.COM
  cnhawk/test1.the9.com@THE9.COM's Password:
  hawk# klist -f
  Credentials cache: FILE:/tmp/krb5cc_0
  Principal: cnhawk/test1.the9.com@THE9.COM
  Issued Expires Flags Principal
  Jun 7 17:12:21 Jun 8 03:12:21 I krbtgt/THE9.COM@THE9.COM
  我们可以看到本地已经拿到票据了。
  下面添加测试机B的域名地址信息,就是允许测试机B能登陆测试机A。 特别注意Kerberos必须使用域名来访问机器。如果使用IP添加主机会出现一些意外的问题。
  test1# kadmin -l
  kadmin> add --random-key host/test1.the9.com //说明添加的是主机不是用户
  Max ticket life [1 day]:
  Max renewable life [1 week]:
  Principal expiration time [never]:
  Password expiration time [never]:
  Attributes []:
  kadmin> ext host/test1.the9.com
  kadmin> ext --keytab=/tmp/the9.keytab host/test1.the9.com
  这样完成以后就好了,基本配置已经结束了,可以使用。
  调试
  我们开始使用Kerberos的认证部署网络服务,注意Kerberos通过修改用户主目录下的.klogin和.k5login文件,将你允许登陆的用户Principal添加在文件里就好了。
  test1# cat .k5login
  # $FreeBSD: src/etc/root/dot.k5login,v 1.1 2003/04/30 20:58:49 markm Exp $
  #
  # user1/root@YOUR.REALM.WHEREVER
  # user2/root@YOUR.REALM.WHEREVER
  cnhawk/test1.the9.com@THE9.COM
  这样就可以了
  使用Kerberos认证的telnet
  修改/etc/inetd.conf 添加
  telnet stream tcp nowait root /usr/libexec/telnetd telnetd -a user
  然后开启
  test2# inetd
  然后从test1登陆test2
  test1# kinit cnhawk/test1.the9.com //先取得票据
  cnhawk/test1.the9.com@THE9.COM's Password:
  test1# klist –f //看看是不是取得
  Credentials cache: FILE:/tmp/krb5cc_0
  Principal: cnhawk/test1.the9.com@THE9.COM
  Issued Expires Flags Principal
  Jun 11 16:21:36 Jun 12 02:21:36 I krbtgt/THE9.COM@THE9.COM
  //可以了
  test1# telnet -a -l the9 192.168.0.3 //开始登陆
  Trying 192.168.0.3...
  Connected to test2.the9.com.
  Escape character is '^]'.
  [ Trying mutual KERBEROS5 (host/test2.the9.com@THE9.COM)... ]
  [ Kerberos V5 accepts you as `` cnhawk/test1.the9.com@THE9.COM'' ]
  FreeBSD/i386 (test2.the9.com) (ttyp1)
  //登陆欢迎词
  %id
  uid=1001(the9) gid=0(wheel) groups=0(wheel)
  % //好了成功了
  使用Kerberos认证的ssh
  修改测试A,B,C的sshd 配置文件。
  # Kerberos options
  KerberosAuthentication yes
  KerberosOrLocalPasswd yes
  然后重启sshd
  Test2#kill –HUP 80
  开始从test1登陆到test2,因为只有ssh1支持Kerberos,所以使用ssh1连接同时开启debug信息。
  test1# ssh -1v the9@test2.the9.com
  OpenSSH_3.6.1p1 FreeBSD-20030924, SSH protocols 1.5/2.0, OpenSSL 0x0090703f
  debug1: Reading configuration data /etc/ssh/ssh_config
  debug1: Rhosts Authentication disabled, originating port will not be trusted.
  debug1: Connecting to test2.the9.com [192.168.0.3] port 22.
  debug1: Connection established.
  debug1: identity file /root/.ssh/identity type -1
  debug1: Remote protocol version 1.99, remote software version OpenSSH_3.5p1 FreeBSD-20030924
  debug1: match: OpenSSH_3.5p1 FreeBSD-20030924 pat OpenSSH*
  debug1: Local version string SSH-1.5-OpenSSH_3.6.1p1 FreeBSD-20030924
  debug1: Waiting for server public key.
  debug1: Received server public key (768 bits) and host key (1024 bits).
  debug1: Host 'test2.the9.com' is known and matches the RSA1 host key.
  debug1: Found key in /root/.ssh/known_hosts:3
  debug1: Encryption type: 3des
  debug1: Sent encrypted session key.
  debug1: Installing crc compensation attack detector.
  debug1: Received encrypted confirmation.
  debug1: Trying Kerberos v5 authentication.
  debug1: Kerberos v5 authentication accepted.
  debug1: Requesting pty.
  debug1: Requesting shell.
  debug1: Entering interactive session.
  Last login: Fri Jun 11 16:31:14 2004 from test1.the9.com
  Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994
  The Regents of the University of California. All rights reserved.
  FreeBSD 4.9-RELEASE (GENERIC) #0: Mon Oct 27 17:51:09 GMT 2003
  FreeBSD/i386 (test2.the9.com) (ttyp1)
  //登陆欢迎词
  %id
  uid=1001(the9) gid=0(wheel) groups=0(wheel)
  % //好了成功了
  测试已经完成了。可以使用Kerberos了。
  ftp 服务
  %kinit cnhawk/test1.the9.com
  Cnhawk/test1.the9.com @THE9.COM's Password:
  %klist -f
  Credentials cache: FILE:/tmp/krb5cc_1001
  Principal: cnhawk/test1.the9.com@THE9.COM
  issued Expires Flags Principal
  Jun 11 18:49:56 Jun 12 04:49:56 I krbtgt/THE9.COM@THE9.COM
  %/usr/local/bin/ftp -v hawk.the9.com
  Connected to hawk.the9.com.
  220 hawk.the9.com FTP server (Version 5.60) ready.
  334 Using authentication type GSSAPI; ADAT must follow
  GSSAPI accepted as authentication type
  GSSAPI authentication succeeded
  Name (hawk.the9.com:cnhawk):
  232 GSSAPI user cnhawk@THE9.COM is authorized as cnhawk
  Remote system type is UNIX.
  Using binary mode to transfer files.
  ftp>
  好了FTP也可以接受登陆
  总结
  Kerberos使用中需要注意一些地方,例如,时间一定要保证同步,因为Kerberos靠时间戳来保持同步,时间允许的飘溢量非常小。所以必须保证时间的准确。
  cnhawk# kinit cnhawk/test1.the9.com@THE9.COM cnhawk/test1.the9.com@THE9.COM's Password: kinit: krb5_get_init_creds: time skew (314) larger than max (300) cnhawk# ntpdate time.the9.com 7 Jun 16:59:49 ntpdate[623]: step time server 61.129.93.5 offset 211.348035 sec cnhawk# kinit cnhawk/test1.the9.com @THE9.COM cnhawk/test1.the9.com@THE9.COM's Password:
  而且很多时候在登陆前要查看票据是不是过期了。
  hawk# klist Credentials cache: FILE:/tmp/krb5cc_0 Principal: cnhawk/test1.the9.com@THE9.COM
  Issued Expires Principal
  Jun 7 17:19:25 >>>Expired<<< krbtgt/THE9.COM@THE9.COM
  Jun 7 17:20:23 >>>Expired<<< host/cnhawk.the9.com@THE9.COM
  同时要注意认证时候不只是认证用户信息,还有主机信息,要保证这两个信息都在KDC中心数据库上存储。这样才能保证用户取得票据以后能顺利登陆服务器。

 

iteye_21086
关注
play-module-ad-sso:为 kerberos SSO 播放 2 模块
06-10
这是 kerberos SSO 的 play 2.3 模块,支持回退。 它还包含一个简单的 ldap 类,用于获取用户详细信息并使用用户名和密码进行身份验证。 这是一个简单的示例,说明如何保护 public class Application extends ...
puppet.epfl_sso:使用EPFL的LDAP和Kerberos服务器的UNIX单点登录
04-27
`epfl-ldap`和`kerberos-server`标签分别指代EPFL LDAP服务器和Kerberos服务器相关的组件和配置。在`puppet.epfl_sso-master`这个压缩包中,包含了用Puppet编写的模块,用于安装、配置和管理这些服务器。管理员...
Kerberos V5介绍分析--司伟生Tag:学习笔记
weixin_33816946的博客
05-17 746
轉載于:http://jingle.blogbus.com/logs/86700.html摘要:在用户所进行的操作和所传送的数据具有相当敏感性的网络环境中,能否准确的认证用户身份是非常重要的。Kerberos认证协议是目前比较完美的解决这一问题的方法之一。本文的前部分对Kerberos(V5)进行了详细的描述和分析,并给出了一个应用实例,第四部分列出了它的一些不足。其中的...
kerberos使用中遇到的问题
玩物
03-17 1万+
公司的kerberos认证使用了很久,但是最近新上的一批服务器无法直接免密登录,需要输入密码。此问题查询了将近一个礼拜后,终于得到解决。kerberos的系统组成有至少部分。1.ServerA (kdc kerberos-admin(kerberos服务端)) 2.ServerB (client(kerberos user),所有用户可以通过这个服务器从服务端索要凭据)。 3.ServerC(
配置kerberos_使用Kerberos 5支持配置OpenAFS
cuxiong8996的博客
07-03 316
存档日期:2019年5月13日 | 首次发布:2011年5月31日 对于Kerberos 4协议中确定的漏洞,建议全球用户迁移到Kerberos 5进行身份验证。 Kaserver是处理身份验证请求的Andrew文件系统的组件,它是一个基于Kerberos 4的应用程序。 建议IBMAFS®和OpenAFS(由OpenAFS社区维护的IBM AFS的外包版本)的用户开始使用Kerberos...
SSH-sshd_config配置文件详解-xShell连接Linux服务器提示密码错误。
努力吧_少年
10-10 7175
xShell连接Linux服务器提示密码错误。 1、检查虚拟机SSH服务是否开启: service sshd status,如果没有开启,请执行service sshd start启动该服务,或者通过service sshd restart重启该服务;2、检查 /etc/ssh/ssh_config文件: ssh服务端口是否为22,Protocol协议版本是否为2(一般为2安全。1为ss
kerberos 5
架构之美
12-14 468
kadmin.local: listprincs K/M@JACK kadmin/admin@JACK kadmin/changepw@JACK kadmin/hadoopmaster.jack@JACK krbtgt/JACK@JACK kadmin.local: addprinc admin/admin@JACK WARNING: no policy specified fo...
SSO-Single-Sign-on实战.docx
09-04
SSO可以分为Web SSO和桌面SSO两种,Web SSO是指客户端的单点登录,而桌面SSO是指操作系统级别的单点登录。 1. SSO原理 SSO的主要特点是,SSO应用之间走Web协议(如HTTP/SSL),并且SSO只有一个登录入口。简单的SSO...
java抢票器源码-kerberos-demo:用于SSO的SpringSecurityKerberos的SpringBoot演示
06-05
java抢票器源码kerberos 演示 用于 SSO 的 Spring Security Kerberos 的 Spring Boot 演示 此示例将向您展示如何: 在 Windows 环境中使用 Kerberos 构建 SSO 此应用程序在 Windows 7 桌面上运行测试 AD 是 Windows ...
kerberos.rar_Kerberos_kerberos Java_single_sso java
07-15
Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和...
【Hadoop】通俗易懂 Kerberos原理
康师傅没有眼泪
05-26 6103
Hadoop 使用Kerberos作为用户和服务的强身份验证和身份传播的基础。Kerberos 是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。Kerberos 是第方认证机制,其中用户和服务依赖于第方(Kerberos 服务器)来对彼此进行身份验证。Kerberos服务器本身称为密钥分发中心或 KDC。
Kerberos密码修改
weixin_43978957的博客
12-14 7225
Kerberos密码修改1.背景2.修改系统用户密码2.1登录kadmin控制台2.2 修改密码3.修改kadmin密码 1.背景 kerberos作为广发运用于大数据产品中的一个认证组件,不可避免会存在修改密码场景。对系统用户和Kadmin用户(管理员用户)的密码修改方式不同。 修改系统用户密码。可以通过cpw来修改,系统用户密码。所以系统用户密码丢失,也可通过kadmin,使用cpw修改找回...
【原创】kerberos无密码登录
weixin_34395205的博客
04-04 409
通常在远程客户端上登录kerbros都需要密码,在学习hadoop的时候提到了ktutil这个工具,这里将使用方法贴出来。 用到的命令如下: 1、ktutil 2、add_entry -password -p hadoop/admin@psy.com -k 3 -e aes256-cts-hmac-sha1-96 解释:-k 指编号 -e指加密方式 -password 指使用密码的方式 例子:...
Kerberos常用命令总结
热门推荐
CarbonDioxide12138的博客
03-18 1万+
进入kadmin kadmin.local/kadmin 创建数据库 kdb5_util create -r JENKIN.COM -s  启动kdc服务 service krb5kdc start 启动kadmin服务 service kadmin start  修改当前密码 kpasswd 测试keytab可用性 kinit -k -t /var/kerberos/krb5kdc...
图解 Kerberos 个密码验证的过程
runzhliu大数据/容器日记
06-05 1200
参考资料: https://www.youtube.com/watch?v=_44CHD3Vx-0 Client 发送请求到 AS(Authentication Server),注意这个请求是用 Client 的密码A加密过的,无需在网络中传递 Client 的密码A,因为在 AS 收到请求后,会从创建用户的数据库里,找到 Client 的密码A用于解密。认证成功后,AS 会返回 TGT(T...
Kerberos常见错误及解决方案
shkstart的博客
08-31 1万+
1、 Kerberos启动后台日志提示异常:No such file or directory – while initializing database for realm HADOOP.COM 在/var/log/krb5kdc.log中发现No such file or directory – while initializing database for realm HADOOP.COM。 解决方案: ①: 检查kdc.conf和krb5.conf文件是否配置正确,修改配置,注意:配置文件的[kdc
Linux7 下Hadoop集群用户管理方案之五 安装Hadoop集群遇到的坑
记录,学习。
05-07 7935
自己在安装时候遇到的一部分的坑。 密码都不能用了。。 难道是因为。。改了kdc.conf?? 从ip改成端口了 PS。这个还没有解决。。Kerberos创建用户,创建的用户密码过期之后不可用的问题。Kerberos还没有完全吃透,还没解决。 /opt/cm-5.9.0/share/cmf/bin/gen_credentials.sh fail
Top 20 OpenSSH Server Best Security Practices
weixin_33859504的博客
08-03 185
OpenSSH is the implementation of the SSH protocol. OpenSSH is recommended for remote login, making backups, remote file transfer via scp or sftp, and much more. SSH is perfect to keep confi...
MIT Kerberos原理介绍文档
最新发布
07-28
<think>嗯,用户要求了解MIT Kerberos的身份验证原理和工作机制。从引用内容看,用户已经查阅过相关资料,但需要更系统的解释。用户可能正在研究网络安全或分布式系统认证方案,需要理论结合实践的理解。 Kerberos的核心是票据传递认证机制,这个协议设计得很精妙。根据引用[2]的流程图,整个流程分为AS、TGS和服务请求个阶段。用户特别关注MIT实现版,需要强调其作为标准实现的特性。 在解释原理时要注意技术细节的准确性:比如KDC的组成、对称加密的应用、时间戳防重放等。引用[4]提到的单点登录特性值得展开说明,这是Kerberos在企业环境的核心价值。 考虑到用户可能是技术人员,准备在回答中加入具体技术元素:如加密算法类型(AES256)、票据有效期(默认8小时)、领域(REALM)概念等。同时要避免过于学术化,用TGT(门票兑换券)、服务票据(电影票)这样的生活类比帮助理解。 用户提供的引用[1]提到MIT版本支持多系统,这点可以在工作机制部分补充说明跨平台特性。引用[3]的神话隐喻很有趣,但技术文档里保持专业表述更合适。 最后考虑生成的问题要覆盖原理延伸(NTLM对比)、实践(配置要点)和进阶(PKINIT扩展),这样能形成知识闭环。特别准备加入“时间同步”这个容易被忽视但关键的问题点。</think>以下是MIT Kerberos身份验证原理工作流程的详细说明: --- ### **Kerberos核心原理** Kerberos是一种基于**票据(Ticket)** 的网络认证协议,通过**对称加密**和**可信第方(KDC)** 实现安全身份验证,核心目标包括: 1. 用户密码不在网络中明文传输 2. 实现单点登录(SSO) 3. 抵御中间人攻击重放攻击[^4] --- ### **核心组件** | 组件 | 作用 | |---------------|----------------------------------------------------------------------| | **KDC** | 密钥分发中心,包含AS和TGS两个服务 | | **AS** | 认证服务器:验证用户初始身份,发放TGT | | **TGS** | 票据授权服务器:基于TGT发放服务票据 | | **Principal** | 主体标识(如 `user@REALM` 或 `host/server.example.com@REALM`) | | **Realm** | 管理域(如 `EXAMPLE.COM`),KDC负责该域内的认证 | --- ### **工作流程详解(次通信)** #### **1. 客户端 → AS:获取TGT** - 用户输入账号密码,客户端生成认证请求 - AS验证用户身份,返回: - **TGT(票据授权票据)**:用KDC的$krbtgt$密钥加密,包含用户信息、会话密钥$K_{TGS}$、有效期等 - **临时会话密钥**:用用户密码派生的密钥加密 > *数学表达*: > $ \text{AS\_Response} = \\{ \text{TGT}\_{enc(K\_{krbtgt})}, \\; K\_{TGS}\_{enc(K\_{user})} \\} $ #### **2. 客户端 → TGS:请求服务票据** - 客户端解密获得$K_{TGS}$,构造服务请求: - 提交TGT + 服务Principal(如 `host/server.example.com`) - 附加**认证符(Authenticator)**:用$K_{TGS}$加密的时间戳 - TGS验证TGT和认证符后返回: - **服务票据(Service Ticket)**:用目标服务的密钥加密 - **服务会话密钥**$K_{Service}$:用$K_{TGS}$加密 > *数学表达*: > $ \text{TGS\_Response} = \\{ \text{Ticket}\_{Service}\_{enc(K\_{Service})}, \\; K\_{Service}\_{enc(K\_{TGS})} \\} $ #### **3. 客户端 → 目标服务:访问服务** - 客户端向服务发送: - 服务票据 - 新认证符(用$K_{Service}$加密的时间戳) - 服务解密票据获得$K_{Service}$,验证认证符后允许访问 - **双向认证**:服务可返回用$K_{Service}$加密的时间戳确认身份[^2] ```mermaid sequenceDiagram participant Client participant AS participant TGS participant Service Client->>AS: 请求TGT (用户身份) AS->>Client: TGT + $K_{TGS}$ (加密) Client->>TGS: TGT + 服务请求 + 认证符 TGS->>Client: 服务票据 + $K_{Service}$ Client->>Service: 服务票据 + 认证符 Service->>Client: 服务响应 (可选) ``` --- ### **MIT Kerberos关键技术特性** 1. **加密算法**:支持AES-256、AES-128等(通过`krb5.conf`配置) 2. **票据有效期**:默认8-10小时,平衡安全便利 3. **时间同步**:依赖NTP,时间偏差需≤5分钟(防重放攻击) 4. **Keytab文件**:机器密钥存储文件,替代密码认证(用于服务注册)[^2] 5. **跨域信任**:不同Realm间建立信任链实现跨域认证 --- ### **安全机制** | 机制 | 作用 | |------------------|----------------------------------------------------------------------| | **会话密钥** | 每次认证生成唯一密钥,避免密码暴露 | | **时间戳** | 认证符包含精确时间,抵御重放攻击 | | **票据有效期** | 限制票据生命周期,降低被盗用风险 | | **双向认证** | 服务端可向客户端证明自身合法性 | > *MIT实现特别优化了内存管理和票据续期机制,支持大规模企业部署[^1]* --- ### **典型应用场景** - Hadoop集群安全认证 - Windows Active Directory域认证 - SSH单点登录 - Web服务API鉴权(如REST API) ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值