Kerberos身份验证

原创 已于 2025-01-28 14:02:38 修改 · 1k 阅读 · 24
标签
#网络 #数据库 #网络安全 #安全 #microsoft
于 2024-12-17 19:41:59 首次发布

Kerberos是更现代化的身份验证协议,它比 NTLM 认证更安全,但域内某些服务仍支持 NTLM 认证。Kerberos 和 NTLM 认证一样,都是通过在 SSPI 接口实现的功能,这使得使用第三方协议(如:HTTP、SMB、LDAP)在访问服务之前,Kerberos 和 NTLM 一样,由身份验证阶段转为会话阶段。

我们之前的文章表明,NTLM 身份验证阶段就是客户端和服务端展开的协商、挑战、验证,会话阶段就是使用 HTTP、SMB、LDAP 访问服务,那么这里的会话阶段与 Kerberos 身份验证后的会话阶段没有什么不同,我们把重点放在 Kerberos身份验证阶段。

Kerberos 身份验证阶段分为如下步骤:

  • as-req & as-rep

  • tgs-req & tgs-rep

  • ap-req & ap-rep

经过上述步骤后进入会话阶段。

as-req & as-rep

  • 此步骤用于客户端向 kdc 请求 tgt 认购权证

  • as-req :客户端发送请求

  • as-rep :kdc 返回 tgt 认购权证

上图是 as-req 请求内容,和 as-rep 响应内容。我来详细解释其中的细节。

tgt 请求流程

  1. 客户端使用某个域用户的身份凭据(用户密码)生成用户 hash。

  2. 客户端使用用户 hash 加密时间戳,并和一系列其他信息组成 as-req 发送给 kdc 以访问 kdc 的 krbtgt 服务(此服务主要用来颁发 tgt )。

最低0.47元/天 解锁文章
大数据之Kerberos认证
m0_70949976的博客
05-15 6113
Kerberos 是一个网络身份验证协议,用于在计算机网络中进行身份验证和授权。它提供了一种安全的方式,允许用户在不安全网络上进行身份验证,并获取访问网络资源的权限。
Windows认证机制和协议---Kerberos协议
Naive的博客
05-03 2739
Kerberos协议是由麻省理工学院提出的一种网络身份认证协议,提供了一种在开放的非安全网络中认证识别用户身份信息的方法。其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假设网络上传送的数据包是可以被任意的读取、修改和插入数据。在以上情况下,Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的.
Kerberos身份验证流程
pengjunlee的博客
05-21 3011
介绍: Kerberos 是一种由 MIT(麻省理工大学)提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。 在 Kerberos 认证中,最主要的问题是如何证明「你是你」的问题,如当一个 Client 去访问 Server 服务器上的某服务时,Server 如何判断 Client 是否有权限来访问自己主机上的服务,同时保证在这个过程中的通讯内容即使被拦截或篡改也不影响通讯的安全性,这正是 Kerberos 解决的问题。在域渗透过程中 Kerberos 协议的
Kerberos认证流程及基本操作
qq_45329047的博客
03-23 4611
Kerberos主要是有三个重要的角色:1、访问服务的Client2、提供服务的Server3、KDC(Key Distribution Center)密钥分发中心,其中报错AS(authorization server)和TGS(ticket granting server)上图 AD其实类似于一个本机的一个数据库,存储所有client的白名单。
Kerberos 身份验证
kuokay的博客
09-11 974
Kerberos 是一种由 MIT(麻省理工大学)提出的一种基于加密 Ticket 的身份认证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证,用于验证用户或主机的标识。。适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016在 Kerberos 协议中主要是有三个角色的存在:1、访问服务的 Client;2、提供服务的 Server;
Kerberos身份验证原理和登录数据库的实例
lunan的博客
10-10 1333
基于 Kerberos身份验证通过引入中央认证服务器,提高了数据库登录的安全性,避免了明文传递凭据,并通过票据系统防止重放攻击。Python 可以通过gssapi库结合数据库库(如psycopg2)实现与数据库安全连接。梧桐数据库(WuTongDB)是基于 Apache HAWQ 打造的一款分布式 OLAP 数据库。产品通过存算分离架构提供高可用、高可靠、高扩展能力,实现了向量化计算引擎提供极速数据分析能力,通过多异构存储关联查询实现湖仓融合能力,可以帮助企业用户轻松构建核心数仓和湖仓一体数据平台。
kerberos验证_使用Kerberos实现AIX的两因素身份验证
cusi77914的博客
06-22 678
身份验证是任何给定系统中最关键的模块之一。 Kerberos是一种流行的安全机制,系统用于网络身份验证和数据的安全传输。 几乎所有支持可插拔身份验证模块的基于UNIX®的操作系统都包含基于Kerberos身份验证。 IBM®AIX®V5.3具有Kerberos集成的登录名,并且具有许多其实用程序,例如SSH,rlogin,telnet等。 IBM AIX附带了自己的Kerberos风格,称为...
配置kerberos环境_使用Kerberos身份验证机制配置IPsec环境
cusi77914的博客
06-21 2626
Kerberos简介 Kerberos是一种用户身份验证协议,可用于采用对称加密的票证机制。 在IBM®AIX®中,Kerberos协议是通过网络认证服务提供的。 因此,在本文中,我们将交替使用Kerberos网络身份验证服务。 从高层次上讲,Kerberos身份验证在客户端/服务器模型上起作用,客户端与服务器联系以获得票证。 在这里,客户端可以是用户或服务(例如:Telnet,FT...
kerberos认证_一文搞定Kerberos
weixin_39568133的博客
12-03 878
Kerberos 是一种身份认证协议,被广泛运用在大数据生态中,甚至可以说是大数据身份认证的事实标准。本文将详细说明 Kerberos 原理。PS: 这是 Introduction To Kerberos 的文字版,感兴趣的小伙伴可以直接下载pdf。一、关于 Kerberos 的典型问题Kerberos 是什么?Kerberos 具体原理是什么?为什么 Kerberos 是一种成熟可靠的身份认证协...
从KDC到全网统一:Kerberos 验证系统的魅力解析
m0_72410588的博客
08-11 335
Kerberos 是一种基于密钥的网络验证协议,最早由麻省理工学院(MIT)研发并发布。该系统由认证服务器(AS)、Ticket Granting Server(TGS)和客户端(Client)三个主要组件构成。
安全认证Kerberos详解
热门推荐
Shawn的个人博客
04-16 1万+
Kerberos是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。
详解kerberos认证原理
大数据星球-浪尖
02-10 8304
前言Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全kerberos侧重于通信前双方身份的认定工作,帮助客户端和服务端解决“...
快速入门Kerberos认证
阿甘兄
06-19 1559
kerberos认证快速入门
Kerberos 深入详解:原理、认证流程与应用场景
最新发布
PwnGuo的博客
06-27 2689
Kerberos认证协议在企业大数据平台中的应用 Kerberos是一种基于对称密钥加密的网络身份认证协议,通过可信第三方KDC实现安全认证而不传输明文密码。其核心流程包含三个阶段:用户认证获取TGT票据、获取服务票据以及服务端验证。在企业Hadoop集群中,Kerberos被用于实现统一认证,所有客户端访问HDFS前必须经过完整认证流程,包括NameNode和DataNode在内的服务节点都需要配置专属服务主体和keytab文件。该机制通过KDC作为根信任中心,构建了完整的认证信任链,确保只有获得有效票据
kerberos认证相关概念和流程
dkjhl的博客
09-15 2026
你的hadoop有十台主机,/etc/hosts配置的host为hadoop[1-10].hadoop.com,name在定义你的Kerberos的Realm时就是HADOOP.COM,你创建的客户端的服务端的principal都是以@HADOOP.COM结尾。为什么说”默认基于jaas配置”呢。SASL作为高层次框架,定义的是一套接口,看一下接口定义,就能领会到其实GSSAPI是其中一种实现,换句话说,在进行基于kerberos认证的时候,既能够间接应用GSSAPI层接口,也能够应用sasl层的接口。
Kerberos认证
errorr0
08-09 1875
Kerberos认证
深入解读Kerberos网络身份验证协议
weixin_42173218的博客
05-17 948
Kerberos是一种网络认证协议,设计上能够安全地在不安全网络中进行身份验证。它的核心目标是为网络服务提供一个强健的安全认证机制,避免敏感信息在传输过程中被截获或篡改。在Kerberos协议中,用户和服务器通过一个被称为密钥分发中心(KDC)的第三方来进行相互认证。Kerberos架构主要包含三个主要组件:客户端(Client)、服务器(Server)和密钥分发中心(KDC)。KDC进一步分为认证服务器(AS)和票据授予服务器(TGS)。
两种网络身份认证协议的工作流程——NTLM和Kerberos
Neonline254的博客
08-19 4253
NTLM和Kerberos是内网渗透中最常见的两种身份认证协议。理解它们的工作流程也是理解相应内网攻击手段的前置条件(如针对NTLM的中继攻击、针对Kerberos的黄金、白银票据攻击及委派攻击等)。
kerberos详解
空城的博客
12-01 2846
Kerberos始于20世纪80年代早期麻省理工学院(MIT)的一个研究项目,是一个网络身份验证系统。Kerberos提供的完整定义是安全的、单点登录的、可信的第三方相互身份验证服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值