Kerberos認證
⑴ 如何取消 office kerberos認證
Kerberos一詞源於希臘神話「三頭狗——地獄之門守護者」,它是一種網路認證協議,其設計目標是通過密鑰系統為客戶機/伺服器應用程序提供強大的認證服務。而此次Kerberos漏洞卻為黑客打開了在企業網路域內自由穿梭的大門。
360企業安全負責人表示,Kerberos漏洞cve - 2014 – 6324主要影響企業級用戶,建議網路管理員盡快部署安裝微軟補丁。針對隔離網的政企用戶,360企業安全產品專門提供了隔離網安全更新解決方案,方便企業網管快速修復漏洞。
⑵ 下面描述了kerberos系統認證協議過程,哪一個是正確的
當然是B了。網路協議主要是OSI的TCP/IP協議。分為好幾個層,比如說物理層吧,物理層要規定好傳輸信號的速度了,傳輸方式(調頻條幅多路復用等)。也就是設計出來的一個電腦硬體或軟體都遵守的規則。
⑶ 如何訪問需要kerberos認證的web-cdh-about雲開發
解決熱點問題,方法很多,region分配的過多、region分配的過多不知道樓主是如何考慮的,如何去進行預分區,可以採用下面三步:1.取樣,先隨機生成一定數量的rowkey,將取樣數據按升序排序放到一個集合里2.根據預分區的region個數,對整個集合平均分割,即是相關的splitKeys.3.HBaseAdmin.createTable(,byte[][]splitkeys)可以指定預分區的splitKey,即是指定region間的rowkey臨界值.
⑷ ldap和kerberos的區別
使用 LDAP 和 Kerberos
在使用 Kerberos 時,在您的本地網路中分發用戶信息(如用戶 ID、組、主目錄)的一種方法就是使用 LDAP。這需要一種強大的身份驗證機制來防止包被竊取以及他攻擊。一種解決方案是將 Kerberos 也用於 LDAP 通信。
OpenLDAP 通過 SASL(簡單身份驗證會話層)實現了大部分身份驗證功能。SASL 基本上是一種用於身份驗證的網路協議。SASL 實施是 cyrus-sasl,它支持許多不同的身份驗證方法。Kerberos 身份驗證是通過 GSSAPI(通用安全服務 API) 執行的。默認情況下,不安裝用於 GSSAPI 的 SASL 插件。請使用 rpm -ivh cyrus-sasl-gssapi-*.rpm 來手動安裝它。
為了使 Kerberos 能夠綁定到 OpenLDAP 伺服器,請創建一個主體 ldap/earth.example.com 並將其添加到 keytab:
默認情況下,LDAP 伺服器 slapd 以用戶和組 ldap 的身份運行,但只有 root 用戶才能讀取 keytab 文件。因此,要麼更改 LDAP 配置以便使伺服器以 root 用戶身份運行,要麼使組 ldap 可讀取 keytab 文件。如果 /etc/sysconfig/openldap 中的 OPENLDAP_KRB5_KEYTAB 變數中指定了 keytab 文件並且 OPENLDAP_CHOWN_DIRS 變數設置成 yes(這是默認設置),則由 OpenLDAP 啟動腳本 (/etc/init.d/ldap) 自動執行後一項操作。如果 OPENLDAP_KRB5_KEYTAB 保留為空,則使用 /etc/krb5.keytab 下的默認 keybab 文件,並且您必須如以下描述的那樣自己調整優先順序。
要以 root 用戶身份運行 slapd,請編輯 /etc/sysconfig/openldap。通過在 OPENLDAP_USER 和 OPENLDAP_GROUP 變數前放置一個注釋字元來禁用它們。
要使 keytab 對組 LDAP 可讀,請執行
chgrp ldap /etc/krb5.keytab
chmod 640 /etc/krb5.keytab
第三個方案(可能是最好的解決方案)是指示 OpenLDAP 使用特殊的 keytab 文件。要完成此操作,啟動 kadmin 然後在添加主體 ldap/earth.example.com 後輸入以下命令:
ktadd -k /etc/openldap/ldap.keytab ldap/[email protected]
然後,在 shell 上運行:
chown ldap.ldap /etc/openldap/ldap.keytab
chmod 600 /etc/openldap/ldap.keytab
要指示 OpenLDAP 使用不同的 keytab 文件,在 /etc/sysconfig/openldap 中更改以下變數:
OPENLDAP_KRB5_KEYTAB="/etc/openldap/ldap.keytab"
最後,使用 rcldap restart 重啟動 LDAP 伺服器。
將 Kerberos 身份驗證與 LDAP 一起使用
現在應該可以自動將 ldapsearch 等工具與 Kerberos 認證一起使用。
ldapsearch -b ou=people,dc=example,dc=com '(uid=newbie)'
SASL/GSSAPI authentication started
SASL SSF: 56
SASL installing layers
[...]
# newbie, people, example.com
dn: uid=newbie,ou=people,dc=example,dc=com
uid: newbie
cn: Olaf Kirch
[...]
正如您所看到的,ldapsearch 列印一條消息,表示它已經啟動 GSSAPI 身份驗證。下一條信息無疑頗具隱蔽性,它實際上表明了安全強度系數(縮寫為 SSF)是 56(值 56 有些隨意,之所以選擇這個數字,很可能因為它是 DES 加密密鑰中的位數)。這里要告訴您的是 GSSAPI 認證是成功的,並且該加密要用於為 LDAP 連接提供集成保護和機密性。
在 Kerberos 中,身份驗證永遠是相互的。這意味著不僅您向 LDAP 伺服器身份驗證自己,而且 LDAP 伺服器本身也向您身份驗證。這意味著您是與所需的 LDAP 伺服器而不是攻擊者設置的假冒服務進行通訊。
Kerberos 身份驗證和 LDAP 訪問控制
現在,允許每個用戶修改他們的 LDAP 用戶記錄的登錄殼層屬性。假定在您的綱要中 joe 用戶的 LDAP 項位於 uid=joe,ou=people,dc=example,dc=com,請在/etc/openldap/slapd.conf 中設置以下訪問控制:
# This is required for things to work _at all_
access to dn.base="" by * read
# Let each user change their login shell
access to dn="*,ou=people,dc=example,dc=com" attrs=loginShell
by self write
# Every user can read everything
access to *
by users read
第 2 個語句授予已通過身份驗證的用戶對他們自己的 LDAP 項的 loginShell 屬性進行寫訪問的許可權。第 3 個語句授予所有已通過身份驗證的用戶對整個 LDAP 目錄進行讀訪問的許可權。
這里還有個不太重要的方面未明確,即 LDAP 伺服器如何能夠得知 Kerberos 用戶 [email protected] 與 LDAP 判別名 uid=joe,ou=people,dc=example,dc=com 相對應。這種映射必須使用 saslExpr 指令進行手動配置。在本例中,則是將以下語句添加到 slapd.conf:
authz-regexp
uid=(.*),cn=GSSAPI,cn=auth
uid=$1,ou=people,dc=example,dc=com
要了解它的工作原理,您需要知道,當 SASL 身份驗證用戶時,OpenLDAP 將使用 SASL 為它指派的名稱(如 joe)和 SASL 功能的名稱 (GSSAPI) 構成一個判別名。結果是uid=joe,cn=GSSAPI,cn=auth。
如果已經配置了 authz-regexp,它會將第一個參數用作常規表達式來檢查從 SASL 信息構成的判別名。如果此常規表達式匹配,就用 authz-regexp 語句的第 2 個參數替換此名稱。佔位符 $1 被替換為 (.*) 表達式所匹配的子字元串。
可能有更復雜的匹配表達式。如果您的目錄結構或綱要更加復雜(其中用戶名不是判別名的一部分),則甚至可以使用搜索表達式來將 SASL 判別名映射為用戶判別名。
⑸ 什麼叫kerberos
Kerberos是由美國麻省理工學院提出的基於可信賴的第三方的認證系統。Kerberos提供了一種在開版放式網權絡環境下進行身份認證的方法,它使網路上的用戶可以相互證明自己的身份。
Kerberos採用對稱密鑰體制對信息進行加密。其基本思想是:能正確對信息進行解密的用戶就是合法用戶。用戶在對應用伺服器進行訪問之前,必須先從第三方(Kerberos伺服器)獲取該應用伺服器的訪問許可證(ticket)。
⑹ Kerberos模型認證原理是什麼
Kerberos的認證原理:
Kerberos採用可信賴第三方伺服器進行密鑰分發和身份確認,包括:
① 對用戶認證
② 對應用服務的提供者進行認證。
此外,還可根據用戶要求提供客戶/伺服器間的數據加密與完整性服務。
RFC1510協議文件對V5作了如下說明:
Kerberos提供了在開放型網路中進行身份認證的方法,認證實體可以是用戶或用戶服務。這種認證不依賴宿主機的操作系統或主機的IP地址,不需要保證網路上所有主機的物理安全性,並且假定數據包在傳輸中可被隨機竊取篡改。
2
⑺ kerberos認證和ssl的區別
Keberos是為TCP/IP網路系統設計的可信的第三方認證協議,屬於票據授權服務。
SSL是HTTPS加密專協議,是為網路通信提供屬安全及數據完整性的一種安全協議,比如網路搜索就是HTTPS傳輸。
總結:兩者完全不同的產品,SSL是目前最權威最廣泛使用的。
⑻ Windows安全認證是如何進行的[Kerberos篇]
如果時間允許,我很樂意寫一系列的文章與廣大網友分享、交流。對於很多讀者來說,今天討論的可能是一個既熟悉、又陌生的話題——Windows認證。目錄
一、Kerberos認證簡介
四、憑票入場一、Kerberos認證簡介Windows認證協議有兩種NTLM(NT LAN Manager)和Kerberos,前者主要應用於用於Windows NT 和 Windows 2000 Server(or Later) 工作組環境,而後者則主要應用於Windows 2000 Server(or Later) 域(Domain)環境。Kerberos較之NTLM更高效、更安全,同時認證過程也相對復雜。Kerberos這個名字來源於希臘神話,是冥界守護神獸的名字。Kerberos是一個三頭怪獸,之所以用它來命名一種完全認證協議,是因為整個認證過程涉及到三方:客戶端、服務端和KDC(Key Distribution Center)。在Windows域環境中,KDC的角色由DC(Domain Controller)來擔當。某個用戶採用某個域帳號登錄到某台主機,並遠程訪問處於相同域中另一台主機時,如何對訪問者和被訪問者進行身份驗證(這是一種雙向的驗證)?這就是Kerberos需要解決的場景。接下來我盡量以比較直白的語言來介紹我所知道的Kerberos認證的整個流程。Kerberos實際上是一種基於票據(Ticket)的認證方式。客戶端要訪問伺服器的資源,需要首先購買服務端認可的票據。也就是說,客戶端在訪問伺服器之前需要預先買好票,等待服務驗票之後才能入場。在這之前,客戶端需要先買票,但是這張票不能直接購買,需要一張認購權證。客戶端在買票之前需要預先獲得一張認購權證。這張認購權證和進入伺服器的入場券均有KDC發售。右圖(點擊看大圖)一張圖基本揭示了Kerberos整個認證的過程。二、如何獲得「認購權證」?首先,我們來看看客戶端如何獲得「認購權證」。這里的認購權證有個專有的名稱——TGT(Ticket Granting Ticket),而TGT的是KDC一個重要的服務——認證服務(KAS:Kerberos Authentication Service)。當某個用戶通過輸入域帳號和密碼試圖登錄某台主機的時候,本機的Kerberos服務會向KDC的認證服務發送一個認證請求。該請求主要包括兩部分內容,明文形式的用戶名和經過加密的用於證明訪問者身份的Authenticator(我實在找不到一個比較貼切的中文翻譯沒,Authenticator在這里可以理解為僅限於驗證雙反預先知曉的內容,相當於聯絡暗號)。當KDC接收到請求之後,通過AD獲取該用戶的信息。通過獲取的密碼信息生成一個秘鑰對Authenticator進行解密。如果解密後的內容和已知的內容一致,則證明請求著提供的密碼正確,即確定了登錄者的真實身份。KAS成功認證對方的身份之後,會先生成一個用於確保該用戶和KDC之間通信安全的會話秘鑰——Logon Session Key,並採用該用戶密碼派生的秘鑰進行加密。KAS接著為該用戶創建「認購權證」——TGT。TGT主要包含兩方面的內容:用戶相關信息和Logon Session Key,而整個TGT則通過KDC自己的密鑰進行加密。最終,被不同密鑰加密的Logon Session Key和TGT返回給客戶端。(以上的內容對應流程圖中的步驟1、2)三、如何通過「認購權證」購買「入場券」?經過上面的步驟,客戶端獲取了購買進入同域中其他主機入場券的「認購憑證」——TGT,以及Logon Session Key,它會在本地緩存此TGT和Logon Session Key。如果現在它需要訪問某台伺服器的資源,它就需要憑借這張TGT向KDC購買相應的入場券。這里的入場券也有一個專有的名稱——服務票據(ST:Service Ticket)。具體來說,ST是通過KDC的另一個服務TGS(Ticket Granting Service)出售的。客戶端先向TGS發送一個ST購買請求,該請求主要包含如下的內容:客戶端用戶名;通過Logon Session Key加密的Authenticator;TGT和訪問的伺服器(其實是服務)名。TGS接收到請求之後,現通過自己的密鑰解密TGT並獲取Logon Session Key,然後通過Logon Session Key解密Authenticator,進而驗證了對方的真實身份。TGS存在的一個根本的目有兩點:其一是避免讓用戶的密碼客戶端和KDC之間頻繁傳輸而被竊取。其二是因為密碼屬於Long Term Key(我們一般不會頻繁的更新自己的密碼),讓它作為加密密鑰的安全系數肯定小於一個頻繁變換得密鑰(Short Term Key)。而這個Short Term Key就是Logon Session Key,它確保了客戶端和KDC之間的通信安全。TGS完成對客戶端的認證之後,會生成一個用於確保客戶端-伺服器之間通信安全的會話秘鑰——Service Session Key,該會話秘鑰通過Logon Session Key進行加密。然後出售給客戶端需要的入場券——ST。ST主要包含兩方面的內容:客戶端用戶信息和Service Session Key,整個ST通過伺服器密碼派生的秘鑰進行加密。最終兩個被加密的Service Session Key和ST回復給客戶端。(以上的內容對應流程圖中的步驟3、4)四、憑票入場客戶端接收到TGS回復後,通過緩存的Logon Session Key解密獲取Service Session Key。同時它也得到了進入伺服器的入場券——ST。那麼它在進行服務訪問的時候就可以藉助這張ST憑票入場了。該Serivce Session Key和ST會被客戶端緩存。但是,服務端在接收到ST之後,如何確保它是通過TGS購買,而不是自己偽造的呢?這很好辦,不要忘了ST是通過自己密碼派生的秘鑰進行加密的。具體的操作過程是這樣的,除了ST之外,服務請求還附加一份通過Service Session Key加密的Authenticator。伺服器在接收到請求之後,先通過自己密碼派生的秘鑰解密ST,並從中提取Service Session Key。然後通過提取出來的Service Session Key解密Authenticator,進而驗證了客戶端的真實身份。實際上,到目前為止,服務端已經完成了對客戶端的驗證,但是,整個認證過程還沒有結束。談到認證,很多人都認為只是伺服器對客戶端的認證,實際上在大部分場合,我們需要的是雙向驗證(Mutual Authentication)——訪問者和被訪問者互相驗證對方的身份。現在伺服器已經可以確保客戶端是它所聲稱的那麼用戶,客戶端還沒有確認它所訪問的不是一個釣魚服務呢。為了解決客戶端對伺服器的驗證,服務要需要將解密後的Authenticator再次用Service Session Key進行加密,並發揮給客戶端。客戶端再用緩存的Service Session Key進行解密,如果和之前的內容完全一樣,則可以證明自己正在訪問的伺服器和自己擁有相同的Service Session Key,而這個會話秘鑰不為外人知曉(以上的內容對應流程圖中的步驟5、6)以上的內容僅僅講述的是基於Kerberos的Windows認證的大體流程,並不涉及到一些細節的東西,比如如何確保時間的同步,如何抵禦Replay Attack等。此外,由於本文對Windows底層的知識有限,不能確保所有的內容都是完全正確,如有錯誤,還往不吝指正。Windows安全認證是如何進行的?[NTLM篇]
⑼ hive怎麼配置kerberos客戶端認證
<property>
<name>hive.hwi.war.file</name>
<value>lib/hive-hwi-0.10.0-cdh4.3.0.war</value>
<description>,relativeto${HIVE_HOME}.
</description>
</property>
<property>
<name>hive.hwi.listen.host</name>
<value>0.0.0.0</value>
<description>
on</description>
</property>
<property>
<name>hive.hwi.listen.port</name>
<value>9999</value>
<description></description>
</property>
⑽ Kerberos認證的介紹
Keberos是為TCP/IP網路系統設計的可信的第三方認證協議。網路上的Keberos服務基於DES對稱加密演算法,但也可以用其他演算法替代。因此,Keberos是一個在許多系統中獲得廣泛應用的認證協議,Windows2000就支持該協議。
