Kerberos认证底层逻辑(通俗易懂版)

已于 2025-01-31 20:18:10 修改
阅读量1k 收藏 27
点赞数 26
CC 4.0 BY-SA版权
文章标签: 大数据
于 2025-01-28 22:32:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44893236/article/details/145369466

一、Kerberos协议

Kerberos是一种由麻省理工大学提出的一种网络身份验证协议,设计初衷是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。‌个人认为可以类比HTTPS去理解。Kerberos的Client、Server、KDC 可以类比HTTPS的Client、Server、CA去理解。

二、Kerberos认证的参与角色

为了更好的理解Kerberos在身份验证安全方面的作用和机制。介绍完每个Kerberos参与方的作用之后,紧接着会将Kerberos和HTTPS做对比。

2.1 Client‌

在Kerberos中,Client是请求服务的用户或设备;在HTTPS中,Client是发起请求的浏览器或应用程序。

2.2 Server

在Kerberos中,Server是提供服务的实体;在HTTPS中,Server是提供网页或服务的Web服务器。

2.3 KDC‌

在Kerberos中,KDC是密钥分发中心,负责身份验证和票据发放;在HTTPS中,CA是证书颁发机构,负责颁发和管理数字证书。
KDC由认证服务和‌票据授予服务组成:
认证服务器(AS)‌:‌AS负责验证用户的身份,并为客户端生成一个临时的票据授予票据(TGT)。TGT是一个临时的凭证,用于后续的访问授权。
‌作用‌:当用户试图访问某个网络服务时,AS会验证用户的身份,确保用户是合法的。
票据授予服务器(TGS)‌:TGS验证TGT和Authenticator,为客户端提供服务票据。服务票据允许用户访问特定的网络服务。
‌作用‌:用户使用TGT向TGS请求访问特定服务的票据,TGS验证TGT的有效性后,颁发服务票据给用户,允许其访问相应的服务。

三、关键概念剖析

Realm:认证管理域,通常是服务端和客户端在一个域内才能进行认证。
Principal:客户端和服务端的名称,通常Client命名规则为NAME@REALM,Server命名规则为NAME/HOSTNAME@REALM。
Keytab:每个Principal的配套密码,可代替手动输入密码 krb5.conf:记录KDC的HOST与定义Realm规则的配置文件。
Long-term Key/Master Key:Long-term Key是在较长时间内保持不变的密钥,比如用户的密码,可能多年都不会更改 。由于Long-term Key存在被破解的风险,所以被长期密钥加密的数据通常不应该在网络上传输 。Master Key一般是由用户密码经过哈希运算得到的Hash值,它和密码具有同等的证明身份的效力 。
Short-term Key/Se

最低0.47元/天 解锁文章

新学期VIP享超值加赠
猫耳球团
关注
大数据Kerberos认证
m0_70949976的博客
05-15 5962
Kerberos 是一个网络身份验证协议,用于在计算机网络中进行身份验证和授权。它提供了一种安全的方式,允许用户在不安全的网络上进行身份验证,并获取访问网络资源的权限。
黄金票据 --- kerberos学习记录
blackmagic的博客
08-05 1312
授权票据校验:客户端收到TGT后,使用自己的密码解密TGT,提取出TGS Session Key,并用TGS Session Key加密一个称为"授权票据校验"(Authenticator)的令牌,发送给Kerberos服务器。服务票据校验:客户端收到ST后,使用自己的密码解密ST,提取出Service Session Key,并用Service Session Key加密一个称为"服务票据校验"(Authenticator)的令牌,发送给目标服务器。如果验证成功,则客户端被授权访问目标服务器提供的服务。
安全认证Kerberos详解
Shawn的个人博客
04-16 9319
Kerberos是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。
Kerberos 详解
最新发布
csdn_tom_168的博客
07-19 957
摘要: Kerberos 是一种基于密钥加密的网络认证协议,通过 KDC(密钥分发中心)实现客户端/服务器安全认证。其核心流程包括:客户端向 AS 获取 TGT(票据授权票据),再通过 TGS 换取服务票据访问资源。采用 AES/DES 加密和时效性验证(如 Authenticator 时间戳)防御重放攻击。支持与 Hadoop 等大数据系统集成,需配置服务主体和 keytab 文件。典型问题包括时钟偏差、预认证失败等,可通过 klist、NTP 同步等工具排查。生产环境需关注 KDC 高可用、密钥轮换和审
kerberos认证服务搭建、认证、常用命令
天空之蓝的博客
01-16 6751
文章目录安装KDC 服务器修改配置修改KDC的配置文件配置KDC服务的权限管理文件修改Kerberos的配置文件信息初始化KDC数据库启动KDC服务器启动Kerberos服务器KDC 服务器上添加超级管理员账户搭建Kerberos客户端环境将服务端的配置文件拷贝到客户端客户端配置文件和服务段同步后,进行登陆,验证是否可以成功登陆Kerberos 一些基本操作命令使用kadmin.local命令进入...
Kerberos认证原理与使用教程
热门推荐
m0_46168848的博客
02-21 1万+
Kerberos认证原理与使用教程
flink写入带kerberos认证的kudu connector
03-24
当Flink需要与Kudu交互时,Kerberos认证机制的引入是为了增强系统的安全性,防止未授权的访问。本文将详细介绍如何在Flink中配置和使用带Kerberos认证的Kudu Connector。 ### 1. Kerberos认证简介 Kerberos 是一种...
python3.6.5基于kerberos认证的hive和hdfs连接调用方式
09-16
在本文中,我们将深入探讨如何使用Python 3.6.5本通过Kerberos认证来连接Hive和HDFS。Kerberos是一种广泛使用的网络身份验证协议,它为不安全的网络环境提供了安全的身份验证机制。它依赖于共享密钥加密来确保通信...
java实现flink订阅Kerberos认证的Kafka消息示例源码
04-16
- 在实际部署中,必须考虑到Kerberos认证失败的情况,编写相应的异常处理逻辑。 - 在本地环境进行测试时,可能需要模拟KDC环境,或者使用Jaas配置文件进行离线认证。 通过以上步骤,你就能在Java中成功实现Flink...
Python confluent kafka客户端配置kerberos认证流程详解
01-19
其中第一种SASL/GSSAPI的认证就是kerberos认证,对于java来说有原生的支持,但是对于python来说配置稍微麻烦一些,下面说一下具体的配置过程,confluent kafka模块底层依赖于librdkafka,这是使用c编写的高性能的...
深入理解Kerberos认证原理
qq_52095156的博客
08-02 706
Kerberos是一种网络身份认证协议,它的名字源自希腊神话中的三头犬Kerberos,象征着其强大的保护能力。Kerberos协议的主要目标是通过在不安全的网络环境中提供强大的身份认证,来确保网络服务的安全性。:Kerberos服务器验证用户的凭证,如果凭证有效,服务器会生成一个加密的授权票据(Ticket Granting Ticket,TGT)。:当客户端需要访问特定的网络服务时,它会使用会话密钥生成一个服务票据(Service Ticket),并将其发送给Kerberos服务器。
Kerberos协议详解
故事讲予风听
06-23 1151
Kerberos协议是一种用于网络身份验证的协议,最初是由麻省理工学院研究人员开发的,广泛应用于现代计算机网络中。Kerberos协议提供了一个机制,使得用户可以在无需重复输入密码的情况下,在计算机网络上访问多个计算机系统。是为了确保计算机网络中的用户身份验证、授权和访问控制的安全性。其主要设计目标包括:强身份认证:Kerberos协议使用基于加密的身份验证机制,确保用户身份的真实性。在协议中,TGT和服务票据都是基于密钥加密的,只有拥有正确密钥的身份才能加密和解密这些消息。
全网最详细 | Kerberos协议详解
Ms08067安全实验室
02-27 7838
目录Kerberos基础PAC特权属性证书1. PAC结构2. PAC凭证信息3. PAC签名4. KDC验证PAC5. PAC在kerberos中的优缺点Kerberos实验AS-REQ & AS-REP1. AS-REQ请求包分析2. AS-REP回复包分析 (1) TGT认购权证 (2) Lo...
Kerberos协议之TGS_REQ & TGS_REP
喜欢Python编程的程序员柚柚呀
08-12 1031
拿到内容1和内容2,使用自己hash来作为密钥,来解密内容1,拿到客户端/服务器会话密钥和客户端ID,继续把拿到客户端/服务器会话密钥来解密内容2,获(新的身份验证器)得客户端ID,如果一致,就会返回内容给客户端,来表示回应。(这一步不管用户有没有访问服务的权限,只要TGT正确,就都会返回ST服务票据,这也是kerberoasting能利用的原因,任何一个用户,只要hash正确,就可以请求域内任何一个服务的ST票据)在完成上述的检测后,如果验证通过,则TGS完成了对客户端的认证,会生成一个用Logon。
Kerberos认证报错:Failed to find any Kerberos tgt 的处理
大数据时代的狂欢
05-25 4399
JDK认为Kerberos使用的加密算法比较弱,不承认加密出来的密钥。例如在JDK1.8_351中,默认不支持DES相关的Kerberos 5加密算法。如tgt缓存文件不存在,已过期,jdk本过老等问题,这就不多说了。但较低的、121本就支持。
详细讲解kerberos认证全过程、黄金、白银票据
qq_63217130的博客
08-18 3319
当TGS接收到请求之后,会检查自身是否存在客户端请求的服务,如果存在就会拿ktbtgt hash解密TGT(由于TGS是在DC上的,所有具有krbtgt的hash),解密到的信息中包含了login session key,别忘了客户端发过来的时间戳就是利用login session key加密的,此时就可以用其解密获取到时间戳了,然后验证时间戳。只要在TGT过期之前,可以直接请求TGS申请服务票据,而不用在每次访问服务的时候都向AS请求TGT,减少了与AS的通信,提高了系统的性能和效率。
【内网横向】Kerberos认证
网络安全从业者的学习笔记
03-08 524
Windows的身份认证方式主要有NTLM认证Kerberos认证两种,但是在域中,依旧采用Kerberos认证的方式(网络认证协议)。Kerberos协议在内网域渗透中可谓是必修的课程,黄金票据、白银票据以及委派攻击都离不开Kerberos协议。
一文搞定Kerberos认证协议(黄金票据、白银票据)
qq_22792465的博客
07-15 3031
Kerberos主要为三方协议(地狱三头犬)即:客户端Client、服务端Server、密钥分发中心KDC其中KDC中包括AS(Authentication Server、认证服务器)和TGS(Ticket GrantingServer、票据授予服务器)AD(活动目录,里面包含域内用户数据库、存储用户、用户组、域相关的信息)这里首先用一句话进行解释Kerberos协议流程以便于下文阐述的理解(仅帮助理解下述出现的名词后续有详细解析,带着这句话往下观看):解决的问题:如何证明我就是我!!!!
快速入门Kerberos认证
阿甘兄
06-19 1205
kerberos认证快速入门
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值