赞
踩
# kerberos
## 概述
### kerberos的工作围绕着票据展开,票据类似于人的驾驶证,驾驶证标识了人的信息以及可以驾驶的车俩等级
### 只有经过认证的客户端才能访问集群的服务
### 简单说明:client去票据服务大厅获取身份ticket(TGT),如果client想要获取具体服务就要拿着服务大厅颁发的身份ticket(TGT)去获取某项服务的ticket(SGT),然后拿着SGT去和某项服务的service进行享受服务(通信交互)。
## 几个概念
### 证明身份的问题
- 共享密钥
- Client与KDC, KDC与Service 在协议工作前已经有了各自的共享密钥(CK 、SK)
- sessionKey
- sessionkey是用于service和client之间的身份认证。由KDC生成。
- 如果一个秘密(secret)仅仅有认证方和被认证方知道
- 认证过程
- 被认证方向server提供以明文形式表示的Client标识和使用secret加密的client标识的密文
- 由于secret仅仅存在于client和server之间,所以server能够解密client发送过来的密文,server将解密的密文和发送过来的明文进行比较,如果完全一样就证明了client的身份
### KDC:kerberos的服务端程序。密钥分发中心,负责管理发放票据记录授权
### realm(域):kerberos管理领域的标识
### principal(实体):client需要访问服务的用户(principal)。当每添加一个用户或者服务的时候都需要向KDC添加一条principal,principal的形式为 主名称/实例名@领域名
### service:集成kerberos的服务,如HDFS/YARN/HBASE等
### 主名称:主名称可以是用户名或者服务名,还可以是单词host,表示是用于提供各种网络服务(如ftp,rcp,rlogin)的主体。
### 实例名:实例名简单理解为主机名
### TGT: client 向KDC发送身份信息(明文和CK加密的信息),KDC用CK解密认证,然后KDC从TGS(ticket Granting Service)得到TGT并用CK加密形成加密TGT回复给Client ,只有client才能用CK进行解密
### SGT: client向KDC发送TGT获取请求其他Service的Ticket。SGT包含:sessionKey和用户信息,并且用SK进行加密(client无法解密)。和SGT一起返回的信息中还有用CK加密的sessionkey信息(该消息client用CK可以解密获得sessionkey)
### SGT转发: client将SGT和 用sessionkey加密的client信息进行加密的Authenticator信息,发送给service
### service认证:service用SK将SGT解密,从而获得sessionkey和用户信息,然后用sessionkey可以解密Authenticator信息,获得用户信息,然后两部分信息进行对比,从而实现认证
## kerberos协议过程
### 第一阶段
- 客户机初始验证(KDC对client身份认证)
- KDC对client身份认证
- 当客户端用户(principal)访问一个集成kerberos的服务之前,需要先通过KDC的身份认证
- 登录(或使用kinit)时,客户机请求允许其获取服务票证的TGT。
- KGC检查数据库,发送TGT
- 如身份认证通过则客户端会拿到一个TGT(ticket granting ticket),后续就可以拿到该TGT去访问集成了kerberos的服务
- 客户机使用口令解密TGT,进而提供标识:现在可以使用TGT获取其他票证。
### 第二阶段
- 获取对服务的访问(service对client身份认证)
- 当用户拿到TGT后,就可以继续访问service服务
- 客户机请求服务器票证:向KDC发送TGT作为标识的证明。
- KDC向客户机发送服务器票证(SGT)
- 他会使用TGT以及需要访问的服务名称(如HDFS)去KDC获取SGT(service granting ticket)
- 1. Client将之前获得TGT和要请求的服务信息(服务名等)发送给KDC
2. KDC中的Ticket Granting Service将为Client和Service之间生成一个Session Key用于Service对Client的身份鉴别 3. 然后KDC将这个Session Key和用户名,用户地址(IP),服务名,有效期, 时间戳一起包装成一个Ticket(这些信息最终用于Service对Client的身份鉴别)发送给Service, 不过Kerberos协议并没有直接将Ticket发送给Service ,而是将SGT发送给client 4. 由于SGT是要给service的,不能让client看到,所以KDC用协议开始前KDC和service之间的密钥将ticket加密形成SGT转发给client,同时为了让client和service之间共享那个秘密(KDC在第一步为他们创建的session key),KDC用client与它之间的密钥将session key加密随加密的Ticket(SGT)一起返回给client 5。client将收到的SGT转发给service 由于Client不知道KDC与Service之间的密钥,所以他无法篡改信息,同时将client接收到sessionkey解密出来,然后将自己的用户名和用户地址打包成Authenticator用sessionkey加密也发送给Service
6. service接收到SGT后然后利用它和KDC之间的秘密将SGT解密出来,从而获取sessionkey和用户信息,然后用sessionkey将Authenticator解密出来从而获得用户信息,将两部分用户信息进行比较从而验证client的身份
- 客户机向服务器发送票证(SGT)
- 然后使用SGT去访问Service,service会利用相关信息对client进行身份认证,认证通过后就可以正常访问service服务
- 服务器允许客户机访问
*XMind: ZEN - Trial Version*
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。