kerberos关键知识点

最新推荐文章于 2024-09-01 22:15:00 发布
原创 最新推荐文章于 2024-09-01 22:15:00 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了Kerberos认证机制,包括其在网络通信身份认证中的作用,principal的类型及其构成,以及如何通过编辑acl文件来设置权限。此外,还讨论了Kerberos与LDAP的集成,以及在大数据安全中的应用。

参考以下资料,及《OReilly.Architecting.Modern.Data.Platforms》

https://www.cnblogs.com/wn1m/p/10700466.html

https://www.jianshu.com/p/fc2d2dbd510b

https://help.aliyun.com/document_detail/89886.html?spm=a2c4g.11186623.4.1.37a6b019HkcGLQ

 

kerberos是一个网络通信身份认证,包含user和service的认证。

 

principal分为两种类型:user、service

对于user,一般有三部分组成,例如zhangsan/admin@alibaba.com  名称/角色@域名,可以不要角色直接是zhangsan@alibaba.com

service,如yarn/master2.didot.com@sabon.com

(从上面这个图来看acl定义的范围不限于一个服务,比如将yarn拆成了两个权限控制,所以不能说简单说kerberos就是只能控制到service这一层,而service内部还可继续拆分更细的service。)

 

在KDC上我们需要编辑acl(Access Control List)文件来设置权限,该acl文件的默认路径是 /var/kerberos/krb5kdc/kadm5.acl(也可以在文件kdc.conf中修改)。Kerberos的kadmind daemon会使用该文件来管理对Kerberos database的访问权限。对于那些可能会对pincipal产生影响的操作,acl文件也能控制哪些principal能操作哪些其他pricipals。

https://web.mit.edu/kerberos/krb5-latest/doc/admin/conf_files/kadm5_acl.html?highlight=acl

EXAMPLE

Here is an example of a kadm5.acl file:

*/admin@ATHENA.MIT.EDU    *                               # line 1

joeadmin@ATHENA.MIT.EDU   ADMCIL                          # line 2

joeadmin/*@ATHENA.MIT.EDU i   */root@ATHENA.MIT.EDU       # line 3

*/root@ATHENA.MIT.EDU     ci  *1@ATHENA.MIT.EDU           # line 4

*/root@ATHENA.MIT.EDU     l   *                           # line 5

sms@ATHENA.MIT.EDU        x   * -maxlife 9h -postdateable # line 6

 

    目前来看kerberos是用来做user和service或者service和service之间权限认证的,就是说 A用户是否有权限访问某个服务,或者服务A是否有权限访问服务B,同时这个权限用ticket表示,这个ticket有时间限制。而这个用户在kerberos中用principal表示,有自己个格式要求,如上文所示。我们对于这个用户的创建管理可以用LDAP来实现,所以经常看到的是kerberos+LDAP实现鉴权服务。

    我们对大数据的安全需求似乎更应该叫多租户需求,因为我的需求更像是哪些人具有使用什么服务的权限。

    kerberos+LDAP的网络认证服务应用访问广泛,不仅仅在大数据中,是一种粗粒度、应用范围广的网络用户、服务鉴权协议。

而ranger和sentry是大数据中一个权限组件,是细粒度的权限服务,他们也可以和kerberos集成。

 

 

 

 

 

 

 

 

知识梳理笔记--Kerberos 协议
qq_47742555的博客
12-23 1356
Kerberos 协议主要用于确保计算机系统间的通信不受恶意攻击(如窃听、中间人攻击等),并广泛应用于企业环境中,尤其是在 Windows 环境中(例如 Active Directory 使用 Kerberos 作为默认认证协议)。Kerberos 协议的工作原理基于“对称密钥加密”,其中,KDC 使用共享的密钥来验证每个通信双方的身份。:是一个特殊的票据,用于向 TGS 请求其他服务的票据。不发送,而是通过客户端的密钥(通常为密码的加密形式)生成的请求进行加密。
hadoop安全保护机制(kerberos + ldap)
wjandy0211的博客
07-17 1995
LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写,是一种基于X.500目录访问协议的集中账号管理架构的实现协议标准Ldap运行在TCP/IP或其他面向连接的传输服务之上。
Kerberos简介与认证说明
huangzhigao886的博客
02-26 962
Kerberos的认证过程: principal(安全个体):被认证的个体,有一个名字和口令,每个server都对应一个principal,其格式如下,@前面部分为具体身份,后面的部分称为REALM component1 / component2 @ REALM (ossuser/cluster-node-3@HADOOP.COM) KDC(key distribution center ) : 是一个网络服务,提供ticket 和临时会话密钥。 Ticket:一个记录,客户用它来向服务器证明自己的身份
hive配置Kerbros安全认证_hive kereveros(2)
2401_84264610的博客
04-26 1457
Client:需要访问服务的用户(principal),KDC和Service会对用户的身份进行认证。Service:集成了Kerberos的服务,如HDFS/YARN/HBase等。principal:当每添加一个用户或服务的时候都需要向kdc添加一条principal,principl的形式为 主名称/实例名@领域名。TGT : 票证授予票证。SGT : 服务授予票证。或者使用下面这个:客户机在hadoop的从节点上安装即可。在安装的kerbros服务端上修改即可。​。
【Hadoop】通俗易懂 Kerberos原理
康师傅没有眼泪
05-26 6389
Hadoop 使用Kerberos作为用户和服务的强身份验证和身份传播的基础。Kerberos 是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。Kerberos 是第三方认证机制,其中用户和服务依赖于第三方(Kerberos 服务器)来对彼此进行身份验证。Kerberos服务器本身称为密钥分发中心或 KDC。
kerberos理论知识
一亩三分地
04-24 2680
一、什么是kerberos Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。 Kerber...
kerberos协议知识点
最新发布
12-26
- **密钥分发中心(KDC, Key Distribution Center)**:负责管理所有参与方之间的会话密钥分配以及票据授予操作的关键组件。KDC通常分为两个逻辑子系统——**认证服务器(AS, Authentication Server)** 和 **票据授权...
Security+知识点整理.pdf
08-19
在网络安全领域,认证协议是确保网络资源安全访问的关键组件。PAP(Point-to-Point Authentication Protocol)是一种简单的明文认证协议,容易被截取,因此安全性较低。CHAP(Challenge-Handshake Authentication ...
软考知识点-系统架构设计师-计算机网络与软件工程关键技术综述
11-08
Kerberos认证协议的工作原理和优缺点。每部分内容均简明扼要地介绍了相关概念和技术的特点和应用。 适合人群:具备一定技术背景的研究人员、开发人员和系统管理员。 使用场景及目标:适用于希望深入了解计算机网络、...
presto-kerberos
08-14
根据这些知识点,我们可以得出结论,对于Presto的Kerberos配置,除了需要了解Presto的基本操作和原理外,还必须深入理解Kerberos认证协议以及JVM调优等相关高级知识,这样才能安全高效地部署和运行Presto服务。
kerberos问题修复
05-15
Kerberos的问题修复通常涉及到以下几个关键知识点: 1. **Kerberos的工作原理**:Kerberos基于对称密码体制,主要分为三个步骤:票据授予票据(TGT)获取、服务票据获取和服务请求。用户首先向KDC请求TGT,然后使用...
kerberos验证_SQL Server中的服务主体名称和Kerberos身份验证概述
culuo4781的博客
07-19 2585
kerberos验证 This article gives an overview of Service Principal Name (SPN) for using the Kerberos authentication in SQL Server connections. We use the Kerberos authentication to authenticate windows...
Kerberos简单介绍及使用
NeboFeng的博客
02-12 2368
Kerberos 下的用户可以称为 Principal,当每添加一个用户或服务的时候都需要向kdc添加一条principal, principal的形式为:主名称/实例名@领域名。第一部分是service的名字,比如imap, AFS, ftp. 通常’host’这个名字被用于指明对一台机器的通用的访问(telnent, rsh, ssh)。简单来说安全相关一般涉及以下方面:用户认证(Kerberos的作用)、用户授权、用户管理.。其中Instance是可选 的,通常用于更好地限定用户的类型。
kerberos详解
空城的博客
12-01 2725
Kerberos始于20世纪80年代早期麻省理工学院(MIT)的一个研究项目,是一个网络身份验证系统。Kerberos提供的完整定义是安全的、单点登录的、可信的第三方相互身份验证服务。
kerberos入坑指南
mark's technic world
03-14 1773
原理介绍 kerberos主要是用来做网络通信时候的身份认证,最主要的特点就是“复杂”。所以在入坑kerberos之前,最好先熟悉一下其原理。这里推荐一些别人写的文章内容来进行简单汇总: 链接kerberos认证原理用对话场景来解释kerbeors的设计过程 简图 kerberos认证流程简图 几个概念的补充 principal 认证的主体,简单来说就...
Kerberos原理和工作机制
热门推荐
lovebomei的博客
04-19 1万+
1.Kerberos原理和工作机制 概述:Kerberos的工作围绕着票据展开,票据类似于人的驾驶证,驾驶证标识了人的信息,以及其可以驾驶的车辆等级。 1.1 客户机初始验证 1.2获取对服务的访问 2.kerberos中的几个概念 2.1 KDC:密钥分发中心,负责管理发放票据,记录授权。 2.2 域:kerberos管理领域的标识。 2.3 princip...
Kerberos 入门与常用操作 浅析
张伯毅的专栏
02-27 2709
.一 .前言二 .Kerberos认证流程三 .Kerberos Principal四 .Kerberos的优点和不足4.1. 优点4.2. 不足五. KOC常用操作六.Client常用操作 一 .前言 Kerberos协议是 一种计算机网络授权协议, 用于在非安全的网络环境下对个人通信进行加密认证。 Kerberos 通过定义用户 和 服务端所使用的认证身份 (Principal) 来进行访问控制, 用户通过 Kerberos 客户端使用自己的 Principal 向认证服务器进行 身份的认证, 认证
Kerberos】学习Kerberos
HHoao的博客
09-01 1599
用户要去游乐场,首先要在门口检查用户的身份(即 CHECK 用户的 ID 和 PASS), 如果用户通过验证,游乐场的门卫 (AS) 即提供给用户一张门卡 (TGT)。这张卡片的用处就是告诉游乐场的各个场所,用户是通过正门进来,而不是后门偷爬进来的,并且也是获取进入场所一把钥匙。现在用户有张卡,但是这对用户来不重要,因为用户来游乐场不是为了拿这张卡的而是为了游览游乐项目,这时用户摩天楼,并想游玩。
kerberos学习系列一:原理
qwerty1372431588的博客
03-06 1452
Kerberos 一词来源于古希腊神话中的 Cerberus —— 守护地狱之门的三头犬。Kerberos 是一种基于加密 Ticket 的身份认证协议。Kerberos 主要由三个部分组成:Key Distribution Center (即KDC)、Client 和 Service。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值