kerberos详解

最新推荐文章于 2026-05-01 08:21:46 发布
原创 最新推荐文章于 2026-05-01 08:21:46 发布 · 3.8k 阅读 · 15

kerberos介绍

1、重要术语

1. KDC

全称:key distributed center

作用:整个安全认证过程的票据生成管理服务,其中包含两个服务,ASTGS

2. AS

全称:authentication service

作用:为client生成TGT的服务

3. TGS

全称:ticket granting service

作用:为client生成某个服务的ticket 

4. AD

全称:account database

作用:存储所有client的白名单,只有存在于白名单的client才能顺利申请到TGT

5. TGT

全称:ticket-granting ticket

作用:用于获取ticket的票据

6.client

想访问某个server的客户端

7. server

提供某种业务的服务

2、功能

  1. 一个安全认证协议
  2. 用tickets验证
  3. 避免本地保存密码和在互联网上传输密码
  4. 包含一个可信任的第三方
  5. 使用对称加密
  6. 客户端与服务器(非KDC)之间能够相互验证

Kerberos只提供一种功能——在网络上安全的完成用户的身份验证。它并不提供授权功能或者审计功能。

 

3、概念

首次请求,三次通信方

  • the Authentication Server
  • the Ticket Granting Server
  • the Service or host machine that you’re wanting access to.

https://images0.cnblogs.com/i/440394/201405/161359440784098.jpg 

                                                  图 1‑1 角色<

最低0.47元/天 解锁文章
Kerberos安全认证-连载1-Kerberos简介
qq_32020645的博客
06-04 2798
数据安全防护及Kerberos简介
【大数据安全-Kerberos】一篇文章搞定Kerberos认证
weixin_53543905的博客
03-28 2205
同样地,TGS 将发送两条信息给客户端: 其中一条是 HTTP Ticket,由 HTTP 服务的密钥进行加密;客户端通过 kinit USERNAME 或其他方式,将客户端 ID,目标 HTTP 服务 ID,网络地址(可能是多个机器的 IP 地址列表,如果想在任何机器上使用,则可能为空),以及 TGT 有效期的寿命等信息发送给 Authentication Service。其中一条信息被称为 TGT ,由 TGS 的密钥加密,客户端无法解密,包含客户端 ID, TGS Session Key 等信息。
如何5分钟快速搭建PlantUML Server:新手入门教程
最新发布
gitblog_00828的博客
05-01 917
PlantUML Server是一款强大的在线工具,让你能够直接在浏览器中创建和渲染PlantUML图表。本教程将带你快速搭建属于自己的PlantUML Server,无需复杂的配置,只需简单几步即可完成。 ## 准备工作 在开始之前,请确保你的系统已经安装了以下软件: - Git - Docker - Docker Compose 如果你还没有安装这些软件,可以参考官方文档进行安装。 #
Kerberos的黄金票据详解
weixin_30642267的博客
12-27 1297
0x01黄金票据的原理和条件 黄金票据是伪造票据授予票据(TGT),也被称为认证票据。如下图所示,与域控制器没有AS-REQ或AS-REP(步骤1和2)通信。由于黄金票据是伪造的TGT,它作为TGS-REQ的一部分被发送到域控制器以获得服务票据。 Kerberos黄金票据是有效的TGT Kerberos票据,因为它是由域Kerberos帐户(KRBTGT)加密和签名的。TGT仅用...
Kerberos认证原理与使用教程
m0_46168848的博客
02-21 1万+
Kerberos认证原理与使用教程
kerberos介绍
weixin_34306676的博客
12-25 309
重要术语 1. KDC 全称:key distributed center 作用:整个安全认证过程的票据生成管理服务,其中包含两个服务,AS和TGS 2. AS 全称:authentication service 作用:为client生成TGT的服务 3.TGS 全称:ticket granting service 作用:为client生成某个服务ticket 4. AD...
kerberos使用详解
snail_bing的博客
06-21 7462
准备环境 准备三台虚拟机,其中一台安装kerberos的KDC,另外两台安装kerberos的客户端,需要保证三台机器的主机名可以被解析。 主机名 ip 角色 hadoop01 192.168.24.100 KDC hadoop02 192.168.24.101 Client hadoop03 192.168.24.102 CLient 安装Kerberos KDC 在hadoop01上安装运行KDC,即安装krb5-server、krb5-libs和krb5-workstati
Kerberos协议详解
热门推荐
李同學AI安全
09-13 2万+
Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全,Kerberos侧重于通信前双方身份的认定工作,帮助客户端以及服务端验证是真正的自己并非他人,从而使得通信两端能够完全信任对方的身份,在一个不安全的网络中完成一次安全的身份认证继而进行安全的通信。Kerberos是一种计算机网络认证协议,其设计目标是通过密钥系统为网络中通信的客户机(Client)/服务器(Server)应用程序提供严格的身份验证服务,确保通信双方身份的真实性和安全性。
安全认证Kerberos详解
Shawn的个人博客
04-16 1万+
Kerberos是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。
Kerberos 详解
csdn_tom_168的博客
07-19 1651
摘要: Kerberos 是一种基于密钥加密的网络认证协议,通过 KDC(密钥分发中心)实现客户端/服务器安全认证。其核心流程包括:客户端向 AS 获取 TGT(票据授权票据),再通过 TGS 换取服务票据访问资源。采用 AES/DES 加密和时效性验证(如 Authenticator 时间戳)防御重放攻击。支持与 Hadoop 等大数据系统集成,需配置服务主体和 keytab 文件。典型问题包括时钟偏差、预认证失败等,可通过 klist、NTP 同步等工具排查。生产环境需关注 KDC 高可用、密钥轮换和审
【Hadoop】通俗易懂 Kerberos原理
康师傅没有眼泪
05-26 6501
Hadoop 使用Kerberos作为用户和服务的强身份验证和身份传播的基础。Kerberos 是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。Kerberos 是第三方认证机制,其中用户和服务依赖于第三方(Kerberos 服务器)来对彼此进行身份验证。Kerberos服务器本身称为密钥分发中心或 KDC。
域环境的Kerbers协议(渗透方向)
weixin_45612728的博客
02-04 2959
kerbers协议是个什么东西呢? 1.kerbers认证的过程,请看下文 1.1 Ds是什么东西?简称是domain server,域服务器.是对每一个域用户的口令散列值NTLM的存储.其中ds中包含有两个模块,一个是as,一个就是tgs. 1.2 As是个什么东西呢?简称是authentication server,认证用户,域用户使用NTLM加密时间戳,从而进行功能认证,可以对用户进行颁布认证的票据. 1.3 tgs又是一个什么鬼?简单点来说就是根据认证票据tgt从而颁布授权认证票据,注意:票据是;
Kerberos简介
07-07 731
  1、Kerberos简介 Keberos是为TCP/IP网络系统设计的可信的第三方认证协议。网络上的Keberos服务基于DES对称加密算法,但也可以用其他算法替代。因此,Keberos是一个在许多系统中获得广泛应用的认证协议,Windows2000就支持该协议。   2、Kerberos的组成 Kerberos应用程序库:应用程序接口,包括创建和读取认证请求,以及创建safe m...
Kerberos简介,概述,协议内容,3次通信
涂作权的博客
10-01 5612
3.Kerberos 3.1.官网 https://web.mit.edu/kerberos/ 3.2.前言 3.2.1.概述 Kerberos是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。它也指由麻省理工实现此协议,并发布的一套免费软件。 它的设计主要针对客户-服务器模型,并提供了一系列交互认证——用户和服务器都能验证对方的身份。Kerberos协议可以保护网络实体免受窃听和重复攻击。 Kerberos协议基于对称密码学,并需要一个值得信赖的第三
网络安全-内网渗透-Kerberos(票据)
m0_68976043的博客
04-01 1494
Kerberos协议中主要是有三个角色的存在:访问服务的Client(以下表述为Client 或者用户)提供服务的Server(以下表述为服务)KDC(Key Distribution Center)密钥分发中心 kerberos 测试工具介绍流程图:简单来说:Kerberos是一种基于票据Ticket的认证方式。客户端想要访问服务端的某个服务,首先需要购买服务端认可的。也就是说,客户端在访问服务之前需要先买好票,等待服务验票之后才能访问。但是这张票并不能直接购买,需要一张。
kerberos认证_一文搞定Kerberos
weixin_39568133的博客
12-03 878
Kerberos 是一种身份认证协议,被广泛运用在大数据生态中,甚至可以说是大数据身份认证的事实标准。本文将详细说明 Kerberos 原理。PS: 这是 Introduction To Kerberos 的文字版,感兴趣的小伙伴可以直接下载pdf。一、关于 Kerberos 的典型问题Kerberos 是什么?Kerberos 具体原理是什么?为什么 Kerberos 是一种成熟可靠的身份认证协...
大数据之kerbers认证
前方的路在刚开始
12-13 349
kerbers认证,他需要一个票据,要连接kdc服务器。连接后,你就可以访问对应的服务,比如hdfs、或者hive等。
Cas中的一些基本概念
远方的少年
04-18 858
     Ticket Granting ticket(TGT):可以认为是Cas Server根据用户名密码生成的一张票,存在server端.    Ticket-granting cookie(TGC):其实就是一个Cookie,存放用户身份信息,由Server发给Client端.    Service ticket(ST):由TGT生成的一次性票据,用于验证,只能用一次。相当于server发...
[内网] Windows三大认证
weixin_43586169的博客
07-28 3209
Kerberos认证与NTML认证都是属于网络认证,也可以将这个三种认证方式分为两大类,就是本地认证和网络认证,网络认证分为Kerberos认证和NTML认证。 以举例子, 白话形容,将Windows三大认证讲解的透彻,彻底理解。......
CAS登录认证
Admans的专栏
07-15 3449
CAS最基本的协议过程: 名词解释 Ticket Grangting Ticket(TGT) : TGT是CAS为用户签发的登录票据,拥有了TGT,用户就可以证明自己在CAS成功登录过。TGT封装了Cookie值以及此Cookie值对应的用户信息。用户在CAS认证成功后,CAS生成cookie(叫TGC),写入浏览器,同时生成一个TGT对象,放入自己的缓存,TGT对象的ID就是cookie的值。当HTTP再次请求到来时,如果传过来的有CAS生成的cookie,则CAS以此cookie值为key
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值