域Kerberos认证详解

最新推荐文章于 2025-06-27 18:47:07 发布
原创 最新推荐文章于 2025-06-27 18:47:07 发布 · 1.2k 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

域Kerberos认证详解

文章目录

一、Kerberos协议简介

Kerberos 是一种网络认证协议,通过密钥系统为客户端/服务端应用提供强身份验证。其核心目标是解决“如何证明自己是自己”的信任问题,避免明文传输密码,依赖可信第三方(KDC)进行安全认证。
特点

  • 不依赖主机地址信任
  • 不要求全网物理安全
  • 基于共享密钥加密技术

经典场景

  • 老板向财务发送账号密码时,双方无法验证身份真实性。
  • Kerberos通过引入“买票中心”(KDC)解决此问题。

二、Kerberos协议角色组成

角色功能说明
客户端发起请求的用户或设备
服务端提供服务的资源(如文件服务器)
KDC(密钥分发中心)包含两个子角色:
 ◾ AS(认证服务器)验证客户端身份,发放TGT(入场券)
 ◾ TGS(票据授权服务器)根据TGT发放服务票据(ST)

三、Kerberos认证流程

1. 获取TGT(入场券)

  • 步骤:客户端向AS发送身份信息(如用户名、时间戳),AS验证后返回TGT。
  • TGT内容:用户信息、有效期、会话密钥(CT_SK),用KDC的krbtgt密钥加密

2. 获取服务票据(ST)

  • 步骤:客户端携带TGT向TGS申请访问特定服务的票据(ST)。
  • ST内容:用户信息、服务名、有效期、会话密钥(CS_SK),用服务端密钥加密

3. 访问服务端

  • 步骤:客户端将ST发送给服务端,服务端解密验证后允许访问。
  • 验证逻辑:服务端用自身密钥解密ST,检查时间戳和用户信息是否匹配。

四、通信原理与数据包分析

客户端与AS通信(AS-REQ/AS-REP)

  • AS-REQ:包含加密时间戳(用户密钥加密)、请求的服务名(krbtgt)。

  • AS-REP:返回TGT(krbtgt密钥加密)和会话密钥(CT_SK,用户密钥加密)。

    数据包类型关键字段示例值/说明
    AS-REQPA-ENC-TIMESTAMP(用户密钥加密的时间戳) cname(客户端用户名)加密时间戳: 0x802f...
    AS-REPenc-part(用户密钥加密的CT_SK) ticket(krbtgt加密的TGT)TGT有效时间: 8小时

客户端与TGS通信(TGS-REQ/TGS-REP)

  • TGS-REQ:提交TGT和认证符(CT_SK加密),请求服务票据。

  • TGS-REP:返回ST(服务端密钥加密)和会话密钥(CS_SK,CT_SK加密)。

    数据包类型关键字段技术细节
    TGS-REQticket(原始TGT) authenticator(CT_SK加密的认证符)服务名: cifs/web.contoso.com
    TGS-REPenc-part(CT_SK加密的CS_SK) ticket(服务端密钥加密的ST)ST包含服务IP和有效期

客户端与服务端通信(AP-REQ/AP-REP)

  • AP-REQ:发送ST和认证符(CS_SK加密)。

  • AP-REP(可选):服务端返回验证结果。

    数据包类型关键字段验证逻辑
    AP-REQticket(ST) authenticator(CS_SK加密的认证符)服务端校验时间戳偏差(默认5分钟)
    AP-REP可选字段,用于双向认证时服务端返回加密挑战码AP-REP出现率 <10%

五、Kerberos协议安全问题

攻击类型原理防御建议
黄金票据(Golden Ticket)伪造krbtgt密钥生成任意TGT定期重置krbtgt密码
白银票据(Silver Ticket)伪造服务端密钥生成ST限制服务账户权限
Kerberoasting暴力破解服务票据加密密钥使用强密码策略
委派滥用利用服务委派权限横向移动严格管理委派配置

六、获取ST票据(TGS-REQ阶段)

# 使用TGT请求CIFS服务票据
tgs::ask /tgt:contoso.com.kirbi /service:cifs/dc01.contoso.com

总结 Kerberos通过“三次票据交换”实现安全的身份认证,但需注意密钥管理和协议漏洞。理解其流程与角色分工,是防御相关攻击的关键。

3.4-Windows认证Kerberos协议认证
qq_38122566的博客
03-12 1093
Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下,Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。
认证Kerberos协议详解
谢公子的博客
04-07 3910
Kerberos认证方式 Kerberos是由麻省理工大学提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。Kerberos协议有两个基础认证模块:KAS_REQ & KAS_REP 和 TGS_REQ & TGS_REP ,以及微软扩展的两个认证模块S4U 和 PAC 。 Kerberos实际上是一种基于票据(Ticket)...
Kerberos 身份验证
kuokay的博客
09-11 864
Kerberos 是一种由 MIT(麻省理工大学)提出的一种基于加密 Ticket 的身份认证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证,用于验证用户或主机的标识。。适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016在 Kerberos 协议中主要是有三个角色的存在:1、访问服务的 Client;2、提供服务的 Server;
Kerberos 深入详解:原理、认证流程与应用场景
最新发布
PwnGuo的博客
06-27 1286
Kerberos认证协议在企业大数据平台中的应用 Kerberos是一种基于对称密钥加密的网络身份认证协议,通过可信第三方KDC实现安全认证而不传输明文密码。其核心流程包含三个阶段:用户认证获取TGT票据、获取服务票据以及服务端验证。在企业Hadoop集群中,Kerberos被用于实现统一认证,所有客户端访问HDFS前必须经过完整认证流程,包括NameNode和DataNode在内的服务节点都需要配置专属服务主体和keytab文件。该机制通过KDC作为根信任中心,构建了完整的认证信任链,确保只有获得有效票据
大数据之Kerberos认证
m0_70949976的博客
05-15 5939
Kerberos 是一个网络身份验证协议,用于在计算机网络中进行身份验证和授权。它提供了一种安全的方式,允许用户在不安全的网络上进行身份验证,并获取访问网络资源的权限。
Kerberos安全认证-连载1-Kerberos简介
qq_32020645的博客
06-04 2665
数据安全防护及Kerberos简介
Kerberos认证原理与使用教程
热门推荐
m0_46168848的博客
02-21 1万+
Kerberos认证原理与使用教程
Kerberos认证原理(原创图解+详解)
Ciyaso的博客
10-26 8573
一、 Kerberos Authentication Kerberos Authentication 解决的是“如何证明某个用户确确实实就是其所声称的那个用户”的问题。 Kerberos Authentication的整个过程涉及到Client和Server,他们之间传递证明需要使用一个Key(KServer-Client)来表示。Client为了让Server对自己进行有效的认证,向对方提供如下两组信息: ①代表Client自身Identity的信息,为了简便,它以明文的形式传递。 ②将Client的Id
kerberos认证过程,AD认证
06-12
### Kerberos认证过程详解 #### 一、基本原理与核心概念 Kerberos是一种广泛使用的安全协议,主要用于网络环境下的身份验证(Authentication)。身份验证的目的在于确认一个人或实体是否确实如其所声称的身份那样。...
Kerberos 认证协议详解
02-14
此外,Kerberos v5支持跨认证,使得通过管理之间的跨路径实现联合认证成为可能。 Kerberos v5的介绍包括以下几个重要方面: 1. 基本概念:Kerberos v5的主要设计目标是在不信任的环境中为可信方提供相互认证...
【清晰】Kerberos安全体系详解.pdf
07-20
Kerberos认证流程中,所有通信都包含两部分信息:一部分是可解码的明文信息,另一部分是通过用户的密码进行加密的密文信息。通信内容包括用户名、IP地址、票据的有效时间和生命周期、会话密钥等。 - 第一次通信...
kerberos入坑指南
mark's technic world
03-14 1732
原理介绍 kerberos主要是用来做网络通信时候的身份认证,最主要的特点就是“复杂”。所以在入坑kerberos之前,最好先熟悉一下其原理。这里推荐一些别人写的文章内容来进行简单汇总: 链接kerberos认证原理用对话场景来解释kerbeors的设计过程 简图 kerberos认证流程简图 几个概念的补充 principal 认证的主体,简单来说就...
3.3 认证——Kerberos协议认证
GloryGod的博客
08-24 633
Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务。
kerberos认证相关概念和流程
dkjhl的博客
09-15 1870
你的hadoop有十台主机,/etc/hosts配置的host为hadoop[1-10].hadoop.com,name在定义你的Kerberos的Realm时就是HADOOP.COM,你创建的客户端的服务端的principal都是以@HADOOP.COM结尾。为什么说”默认基于jaas配置”呢。SASL作为高层次框架,定义的是一套接口,看一下接口定义,就能领会到其实GSSAPI是其中一种实现,换句话说,在进行基于kerberos认证的时候,既能够间接应用GSSAPI层接口,也能够应用sasl层的接口。
Kerberos认证流程及基本操作
qq_45329047的博客
03-23 4194
Kerberos主要是有三个重要的角色:1、访问服务的Client2、提供服务的Server3、KDC(Key Distribution Center)密钥分发中心,其中报错AS(authorization server)和TGS(ticket granting server)上图 AD其实类似于一个本机的一个数据库,存储所有client的白名单。
Keberos认证过程
banana1006034246的博客
04-04 1548
Kerberos(/ˈkərbərəs/)是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。适用于客户服务模式。解决”某某声称自己是某某“的认证问题。它的模块包括: AS(Authentication Server)= 认证服务器 KDC(Key Distribution Center)= 密钥分发中心(含所有信任客户端的密码) TGT(Ticket Gran...
一篇文章看懂Kerberos协议
qq_29948489的博客
12-14 1388
kerberos是一种计算机网络认证协议,他能够为网络中通信的双方提供严格的身份验证服务,确保通信双方身份的真实性和安全性。不同于其他网络服务,kerberos协议中不是所有的客户端向想要访问的网络服务发起请求,他就能够建立连接然后进行加密通信。而是在发起服务请求后必须先进行一系列的身份认证,包括客户端和服务端两方的双向认证,只有当通信双方都认证通过对方身份之后,才可以互相建立起连接,进行网络通信。
Kerberos认证
简单点,编程的方式简单点
09-15 493
Kerberos是一种计算机网络认证协议,用于安全地验证用户和服务之间的身份。通过以上步骤,Kerberos认证过程完成,用户和服务之间的通信可以在安全的环境下进行。
全网最详细 | Kerberos协议详解
Ms08067安全实验室
02-27 7803
目录Kerberos基础PAC特权属性证书1. PAC结构2. PAC凭证信息3. PAC签名4. KDC验证PAC5. PAC在kerberos中的优缺点Kerberos实验AS-REQ & AS-REP1. AS-REQ请求包分析2. AS-REP回复包分析 (1) TGT认购权证 (2) Lo...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值