Kerberos

最新推荐文章于 2025-08-13 21:27:20 发布
最新推荐文章于 2025-08-13 21:27:20 发布
阅读量294 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 服务器 加密 解密 authentication server 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhanglizhe_cool/article/details/5629118
本文深入探讨了Kerberos协议的安全机制,通过认证服务器(AS)与票据授权服务器(TGS)的交互过程,详细解释了用户基于客户机程序登录的认证流程。包括用户输入用户名和密码,AS验证用户身份并提供票据授权票据,TGS进一步验证并提供服务器票据等关键步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

协议的安全主要依赖于参加者对时间的松散同步和短周期的叫做Kerberos票据的认证声明。 下面是对这个协议的一个简化描述,将使用以下缩写:

  • AS(Authentication Server)= 认证服务器
  • TGS(Ticket Granting Server)= 票据授权服务器。
  • SS(SS)= 服务器。
  • TGT(TGT)= 票据授权票据。

  • 用户基于客户机程序登录的步骤:

    1. 用户输入用户名和密码到客户机。
    2. 客户机程序在输入的密码上运行一个单向函数(大多数为杂凑),这个成为客户机/用户的密钥。

    客户机程序户认证步骤:

    1. 客户机向AS发送一个明文消息,代表用户请求服务。举个例子:"用户XYZ想请求服务。"注意:既不需要向AS发送密钥,也不需要发送密码。
    2. AS校验这个客户是否在它的数据库里。如果在,AS返回以下两条信息给客户:
      • 消息A:用客户/用户密钥加密的客户/TGS会议密钥。
      • 消息B:用TGS密钥加密的票据授权票据(包括客户ID,客户网络地址,票据有效期,客户/TGS会议密钥)。
    3. 一旦客户收到消息A和B,他解密消息A得到客户/TGS会议密钥。会议密钥用在将来与TGS的通信上(注意:客户不能解密消息B,因为它是用TGS的密钥加密的)。这样的话,客户有了足够的信息向TGS证明自己的身份)。

    客户服务认证步骤:

    1. 当申请服务时,客户向TGS发送以下两条消息:
      • 消息C:由从消息B中获取的票据授权票据和申请的服务的ID组成。
      • 消息D:用客户/TGS会议密钥加密的认证(由客户ID和时间戳组成)。
    2. 基于收到的消息C和D,TGS从消息C中重新获取消息B。它用TGS的密钥解密消息B。这一步使他得到"客户/TGS会议密钥"。通过使用这个密钥,TGS解密消息D(认证),而后返回给客户以下两条信息:
      • 消息E:用服务器密钥加密的用户-服务器票据(包括客户ID, 客户网络地址,客户/服务器会议密钥的有效期)。
      • 消息F:用客户/TGS会议密钥加密的客户/服务器会议密钥。

    客户服务申请的步骤:

    1. 基于从TGS收到的消息E和F,客户有足够的信息向SS认证自己。客户联系SS,并向他发出以下两条消息:
      • 消息E:由先前的步骤得到(用户-服务器票据,用服务器的密钥加密)。
      • 消息G:用客户/服务会议密钥加密的一个新的认证,包括客户ID,时间戳。
    2. SS用它自己的密钥解密票据重新得到客户/服务器会议密钥。用这个会议密钥,SS解密得到认证,并返回以下消息给客户,确认他的身份真实,并乐于向客户提供服务:
      • 消息H:在客户认证中找到时间戳,加1 ,用客户/服务器会议密钥加密。
    3. 客户使用客户/服务器会议密钥解密确认函,并检查时间戳是否被正确地更新。如果是,客户可以信赖服务器,并可以向服务器发送服务请求。
    4. 服务器向客户提供其所请求的服务。
Kerberos认证原理
sangfor_edu的博客
07-11 1012
收到KRB_TGS_REP,先解密出了Session tgs。当Client发送身份信息给AS后,AS会先会想AD请求,询问是否有此用户,如果有的话,就会取出它的NTLM hash,然后生成一个随机秘钥称为Session-Key as(临时秘钥Session-Key)。收到回复KRB_AS_REP,先用自己的Client NTLM-hash 解密得到Session-Key as,并使用Session-Key as 加密数据(timestamp、Client-info、Server-info)作为一部分。
Kerberos】学习Kerberos
HHoao的博客
09-01 1473
用户要去游乐场,首先要在门口检查用户的身份(即 CHECK 用户的 ID 和 PASS), 如果用户通过验证,游乐场的门卫 (AS) 即提供给用户一张门卡 (TGT)。这张卡片的用处就是告诉游乐场的各个场所,用户是通过正门进来,而不是后门偷爬进来的,并且也是获取进入场所一把钥匙。现在用户有张卡,但是这对用户来不重要,因为用户来游乐场不是为了拿这张卡的而是为了游览游乐项目,这时用户摩天楼,并想游玩。
kerberos
哇哈哈
10-29 3736
https://www.cnblogs.com/artech/archive/2007/07/05/807492.html https://www.cnblogs.com/-qing-/p/11349134.html https://ieevee.com/tech/2016/06/07/kerberos-1.html https://blog.youkuaiyun.com/czz1141979570/arti...
Kerberos协议详解
热门推荐
李同學的安全圈
09-13 1万+
Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全,Kerberos侧重于通信前双方身份的认定工作,帮助客户端以及服务端验证是真正的自己并非他人,从而使得通信两端能够完全信任对方的身份,在一个不安全的网络中完成一次安全的身份认证继而进行安全的通信。Kerberos是一种计算机网络认证协议,其设计目标是通过密钥系统为网络中通信的客户机(Client)/服务器(Server)应用程序提供严格的身份验证服务,确保通信双方身份的真实性和安全性。
kerberos简介
HHFQ的博客
10-05 1894
维护网络内的系统安全性和完整性至关重要,它涵盖了网络基础架构中的每个用户,应用程序,服务和服务器。 它需要了解网络上正在运行的所有内容以及这些服务的使用方式。 维护此安全性的核心是维护对这些应用程序和服务的访问并强制执行该访问。 Kerberos是一种比普通的基于密码的认证更加安全的认证协议。使用Kerberos,即使在其他计算机上访问服务时也永远不会通过网络发送密码。 Kerberos提供了一种机制,允许用户和机器向网络标识自己,并接收对管理员配置的区域和服务的定义的、受限的访问权限。Kerberos通过
Kerberos 详解
csdn_tom_168的博客
07-19 839
摘要: Kerberos 是一种基于密钥加密网络认证协议,通过 KDC(密钥分发中心)实现客户端/服务器安全认证。其核心流程包括:客户端向 AS 获取 TGT(票据授权票据),再通过 TGS 换取服务票据访问资源。采用 AES/DES 加密和时效性验证(如 Authenticator 时间戳)防御重放攻击。支持与 Hadoop 等大数据系统集成,需配置服务主体和 keytab 文件。典型问题包括时钟偏差、预认证失败等,可通过 klist、NTP 同步等工具排查。生产环境需关注 KDC 高可用、密钥轮换和审
kerberos 部署
heqingcool的博客
06-07 622
kerberos部署 选择worker1节点作为kerberos服务端 #安装kerberos软件 yum -y install krb5-server krb5-libs krb5-auth-dialog krb5-workstation #安装sasl工具,impala启用kerberos时需要sasl工具 yum -y install cyrus-sasl-plain cyrus-sasl-devel cyrus-sasl-gssapi cyrus-sasl-md5 修改/etc/krb5.conf
大数据系列之:Kerberos
zhengzaifeidelushang的博客
04-06 1288
Kerberos 是一种强大而复杂的认证协议,能够有效保护网络资源不受未授权访问。通过使用对称密钥加密和时间同步机制,Kerberos 提供了高效且安全的身份验证服务。
kerberos 主从安装
jzy3711的博客
05-19 1429
文章目录主机列表软件清单主机规划安装部署服务安装修改配置创建数据库拷贝密钥文件创建同步账号拷贝文件keytab文件声明同步账户启动Kprop服务同步数据库添加自动同步任务启动从节点启动Kadmin服务测试添加测试账号停止主节点kdc服务登陆测试账号kadmin.local验证安装脚本 主机列表 主机名称 IP 硬件配置 pass-eda-hdp-001 10.218.12.14 80 Core、256 G pass-eda-hdp-003 10.218.12.18 80 Core、256
网络安全Kerberos攻击技术详解:针对Kerberos的进攻与防御策略
06-04
内容概要:本文详细介绍了针对Kerberos协议的多种攻击方法及其防御措施。首先,通过kerbrute和rubeus等工具进行初始枚举,收集并暴力破解票证,包括使用rubeus获取TGT、进行暴力破解和密码喷洒。接着,文章探讨了...
Kerberos权威指南 Kerberos The Definitive Guide
05-23
Kerberos权威指南 ,Kerberos The Definitive Guide。Single sign-on is the holy grail of network administration, and Kerberos is the only game in town. Microsoft, by integrating Kerberos into Active ...
三步轻松理解Kerberos协议
06-19
Kerberos协议是一种广泛应用于企业环境的身份验证协议,特别是在Active Directory (AD)域环境中,它为客户端和服务器应用提供了安全的认证服务。该协议的核心在于使用对称加密技术,确保了用户身份的安全验证,防止...
flink写入带kerberos认证的kudu connector
03-24
当Flink需要与Kudu交互时,Kerberos认证机制的引入是为了增强系统的安全性,防止未授权的访问。本文将详细介绍如何在Flink中配置和使用带Kerberos认证的Kudu Connector。 ### 1. Kerberos认证简介 Kerberos 是一种...
服务器查看 GPU 占用情况的方法
最新发布
Kent_Li的博客
08-13 303
根据你的 GPU 类型选择对应工具即可快速掌握 GPU 的占用情况。输出包含 GPU 型号、温度、显存使用、利用率等信息。自定义需要的参数(更多参数可通过。使用 NVIDIA 官方工具。使用 ROCm 工具链中的。
pycharm配置连接服务器
小小Bug编写员
08-13 344
(等下要填到 PyCharm 的 Interpreter 栏)这个一登陆进来就在/home/user_name目录里了。这时候 conda -V 就能看到版本号了。填:刚 which 输出的那个。安装 Miniconda。如果能看到版本号,跳到。如果显示未找到命令,按。
Docker入门教程:在腾讯云轻量服务器上部署你的第一个容器化应用 (2025)
Clownseven的博客
08-07 1322
还在为“在我电脑上明明是好的”而烦恼?本篇Docker入门教程,用通俗易懂的比喻解释镜像、容器的核心概念,并手把手带你在腾讯云轻量服务器上,从运行Nginx到编写Dockerfile打包自己的Python应用,轻松掌握容器化部署。
企业级WEB应用服务器TOMCAT
m0_74479247的博客
08-11 829
如何把并发的压力分摊,这就需要调度,采用一定的调度策略,将请求分发给不同的服务器,这就是Load Balance负载 均衡。这些特性共同影响了 HTTP 的设计,后续 HTTP/2、HTTP/3 通过多路复用、QUIC 协议等进一步优化了连接效率和性能,但核心的无状态特性仍被保留(需通过额外机制实现状态跟踪)。,是客户端(如浏览器)与服务器之间通信的基础。:HTTP 协议本身不保存客户端与服务器之间的通信状态,即服务器对客户端的每次请求都是独立处理的,不会记忆之前的请求信息(如用户登录状态、操作历史等)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值