kerberos 密钥表文件的绝对路径

kerberos实现原理（转载）1. 背景在Hadoop1.0.0或者CDH3 版本之前， hadoop并不存在安全认证⼀说。

默认集群内所有的节点都是可靠的，值得信赖的。

⽤户与HDFS或者M/R进⾏交互时并不需要进⾏验证。

导致存在恶意⽤户伪装成真正的⽤户或者服务器⼊侵到hadoop集群上，恶意的提交作业，修改JobTracker状态，篡改HDFS上的数据，伪装成NameNode 或者TaskTracker接受任务等。

尽管在版本0.16以后， HDFS增加了⽂件和⽬录的权限，但是并没有强认证的保障，这些权限只能对偶然的数据丢失起保护作⽤。

恶意的⽤户可以轻易的伪装成其他⽤户来篡改权限，致使权限设置形同虚设。

不能够对Hadoop集群起到安全保障。

在Hadoop1.0.0或者CDH3版本后，加⼊了Kerberos认证机制。

使得集群中的节点就是它们所宣称的，是信赖的。

Kerberos可以将认证的密钥在集群部署时事先放到可靠的节点上。

集群运⾏时，集群内的节点使⽤密钥得到认证。

只有被认证过节点才能正常使⽤。

企图冒充的节点由于没有事先得到的密钥信息，⽆法与集群内部的节点通信。

防⽌了恶意的使⽤或篡改Hadoop集群的问题，确保了Hadoop集群的可靠安全。

2. Hadoop 安全问题2.1 ⽤户到服务器的认证问题NameNode，,JobTracker上没有⽤户认证⽤户可以伪装成其他⽤户⼊侵到⼀个HDFS 或者MapReduce集群上。

DataNode上没有认证Datanode对读⼊输出并没有认证。

导致如果⼀些客户端如果知道block的ID，就可以任意的访问DataNode上block的数据JobTracker上没有认证可以任意的杀死或更改⽤户的jobs，可以更改JobTracker的⼯作状态2.2 服务器到服务器的认证问题没有DataNode, TaskTracker的认证⽤户可以伪装成datanode ,tasktracker，去接受JobTracker, Namenode的任务指派。

kerberos 协议的特点及执行过程01Kerberos 协议的概述Kerberos协议最初是在麻省理工学院开发的，现已成为一种广泛使用的网络认证协议。

它基于对称密钥加密算法，使用第三方认证服务器来管理和颁发安全票据。

Kerberos协议提供了一种强大的身份验证机制，可以防止各种网络攻击，并为用户提供了单点登录功能。

02Kerberos 协议的工作原理Kerberos协议的工作可以分为以下步骤：认证（Authentication）：用户向认证服务器请求一个 TGT （Ticket Granting Ticket）。

用户通常需要提供用户名和密码来进行身份验证。

认证服务器验证用户的身份，并生成一个 TGT，其中包含一个会话密钥（Session Key）。

获取服务票据（Getting a Service Ticket）：一旦用户获得 TGT，他们可以向票据授权服务器请求访问特定服务的服务票据。

用户向TGS（Ticket Granting Server）发送一个包含 TGT 和目标服务的标识的请求。

服务票据验证（Service Ticket Validation）：票据授权服务器验证 TGT，并确定用户有权访问所请求的服务。

如果验证成功，票据授权服务器生成一个服务票据，其中包含一个用于与服务进行安全通信的会话密钥。

访问服务（Accessing the Service）：用户使用服务票据向目标服务请求访问。

目标服务使用票据中的会话密钥验证用户的身份，并与用户建立安全通信通道。

这种方式使得用户能够使用唯一的身份验证实体（Kerberos）来访问多个服务，而不需要为每个服务提供明文密码。

03Kerberos 协议的优点Kerberos 协议具有以下优点，使其成为网络安全中的重要协议：单点登录（Single Sign-On）：Kerberos 允许用户只需进行一次身份验证，即可访问多个资源，无需重复输入密码。

kerberos认证常用命令Kerberos是一种网络身份验证协议，通常用于实现单点登录（Single Sign-On，SSO）。

下面是一些Kerberos认证中常用的命令，这些命令通常在Kerberos客户端上执行。

1. 获取票据授予票据（Ticket Granting Ticket，TGT）：```bashkinit [username]```这个命令会提示你输入密码，成功后会获取到TGT，该票据可以用来获取其他服务票据。

2. 销毁票据：```bashkdestroy```这个命令会销毁当前用户的Kerberos票据，注销用户的身份认证。

3. 查看票据信息：```bashklist```这个命令用于查看当前用户的Kerberos票据信息，包括TGT和其他服务票据。

4. 获取服务票据：```bashkinit -S servicename```这个命令用于获取特定服务的票据，`servicename`是目标服务的名称。

5. 检查主机服务密钥：```bashklist -k```这个命令用于查看当前主机上已注册的服务的密钥列表。

6. 修改密码：```bashkpasswd```这个命令用于修改Kerberos账户的密码，会提示用户输入旧密码和新密码。

7. Kerberos配置文件位置：Kerberos客户端配置文件通常位于`/etc/krb5.conf` 或者`/etc/krb5/krb5.conf`。

这个文件包含Kerberos的配置信息，如KDC服务器地址等。

8. 测试Kerberos连接：```bashkinit -k -t keytabfile principal```这个命令用于测试使用Keytab文件进行Kerberos认证。

`keytabfile`是包含服务主体密钥的Keytab文件，`principal`是服务的主体名称。

这只是一些常见的Kerberos命令，实际使用时可能会有一些额外的参数或者特定的配置。

1 前言假设你的Openldap已经配置好并成功运行，本文只是介绍如何使Openldap使用Kerberos 来验证用户身份。

本配置在FC5上通过，在使用rhe时，很可能会有不同的情况。

2 名词解释Kerberos基于共享密钥的安全机制，由MIT发明，现在已经被标准化，最新是版本5，简称krb5。

Kerberos特别适合局域网络，Windows2k及以上系统的安全机制即基于kerberos。

Kerberos 有多个实现版本，本文使用的一个它的实现叫做mit-kerberos。

SASL简单认证和安全层(Simple Authentication and Security Layer)。

也是一套RFC定义的标准。

它的核心思想是把用户认证和安全传输从应用程序中隔离出来。

像SMTP协议在定义之初都没有考虑到用户认证等问题，现在SMTP可以配置使用SASL来完成这方面的工作。

Openldap同样如此。

SASL支持多种认证方法，比如ANONYMOUS: 无需认证。

PLAIN：明文密码方式(cleartext password)DIGEST-MD5: HTTP Digest 兼容的安全机制，基于MD5，可以提供数据的安全传输层。

这个是方便性和安全性结合得最好的一种方式。

也是默认的方式。

GSSAPI：Generic Security Services Application Program InterfaceGssapi本身是一套API，由IETF标准化。

其最主要也是着名的实现是基于Kerberos的。

所以一般说到gssapi都暗指kerberos实现。

EXTERNAL：认证已经在环境中实现了，比如SSL/TLS, IPSec.Cyrus SASLCyrus-SASL是SASL协议最常用的一个实现。

其他实现还有GNU SASL等。

3 环境准备环境安装软件包Kerberos server: Krb5-serverSasl-gssapi: Cyrus-sasl-gssapiKerberos client: Krb5-client如果依赖于别的包，也一并安装4 配置Kerberos server配置文件包括下面3个文件1. /etc/2. /var/kerberos/krb5kdc/3. /var/kerberos/krb5kdc/配置/etc/这个配置文件设置整个kerberos环境的，所以不但server，而且client也会使用它。

Kerberos概述Kerberos 是一种计算机网络授权协议，是一套应用对称密钥的管理系统，并需要一个值得信赖的第三方, 它使用一个由两个独立的逻辑部分:认证服务器AS和票据授权服务器TGS组成的可信赖第三方KDC，KDC持有所有的无论是客户还是服务器共享的一套只有实体本身和KDC知道的密钥，密钥用于证实实体身份，KDC会在实体间交互信息中产生一个会话密钥来加密这些交互信息。

在win server 2003中它扮演的是一个安全支持提供方的角色（ssp），可用于在非安全网络中对客户端和服务器端进行身份验证的一个机制，也就是说为互相不认识的通讯双方提供安全认证工作，并且可以相互认证，即客户端和服务端，客户和客户间或服务端与服务端之间，当有N个用户在使用该系统时，任意两人间的对话都有共享密码，所以所需的最少会话密钥数为N*(N-1) /2个。

它对防止窃听，replay攻击，和保护数据的完整性提供保护。

Kerberos V5中还有许多新特性。

用户可以在另一个网络中安全的提交他们的票；并且，用户可以把他们的一部分认证权转给服务器，这样服务器就可以作为用户的代理proxy。

其它的新特性包括：用更好的加密算法替换了DES加密算法，三重DES-CBC-MD5加密。

Kerberos交互流程第一步 kerberos认证服务请求：用户登陆后，发送票据请求到KDC请求一个短周期票据叫做TGT（包含用户身份信息）。

第二步 Kerberos认证服务响应：AS构造TGT并创建一个会话密钥用于加密客户和TGS通讯。

TGT的生命周期是有限的。

当客户收到TGT时，他还没有被授予使用任何资源，哪怕是本地计算机上的资源。

为何要使用一个TGT，可以让AS直接发布票据给目标服务器吗？是可以，但是如果AS直接发布票据，那用户每请求新服务或者服务器的时候需要输入一次登陆密码。

发布一个短周期的（10hours）TGT给予用户一个有效的票据用于票据授予服务TGS，可以依次发布目标服务器的票据。

Kerberos安装及使⽤2. 安装 Kerberos2.1. 环境配置 安装kerberos前，要确保主机名可以被解析。

主机名内⽹IP ⾓⾊Vmw201 172.16.18.201 Master KDCVmw202 172.16.18.202 Kerberos clientVmw203 172.16.18.203 Kerberos client2.2 Configuring a Kerberos Server2.2.1 确保环境可⽤ 确保所有的clients与servers之间的时间同步以及DNS正确解析2.2.2 选择⼀个主机来运⾏KDC，并在该主机上安装krb-5libs,krb5-server,已经krb5-workstation:yum install krb5-server krb5-libs krb5-auth-dialog KDC的主机必须⾮常⾃⾝安全，⼀般该主机只运⾏KDC程序。

本⽂中我们选择vmw201作为运⾏KDC的主机。

在安装完上述的软件之后，会在KDC主机上⽣成配置⽂件/etc/krb5.conf和/var/kerberos/krb5kdc/kdc.conf，它们分别反映了realm name 以及domain-to-realm mappings。

2.2.3 配置kdc.conf默认放在 /var/kerberos/krb5kdc/kdc.conf。

或者通过覆盖KRB5_KDC_PROFILE环境变量修改配置⽂件位置。

配置⽰例：[kdcdefaults]kdc_ports = 88kdc_tcp_ports = 88[realms] = {#master_key_type = aes256-ctsacl_file = /var/kerberos/krb5kdc/kadm5.acldict_file = /usr/share/dict/wordsadmin_keytab = /var/kerberos/krb5kdc/kadm5.keytabmax_renewable_life = 7dsupported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal}说明：:是设定的realms。

Kerberos 工作原理Kerberos介绍Kerberos 源自于麻省理工学院的阿西娜计划，截至目前为止已经有十几年的历史，之前的版本仅供内部使用，第一次公开的版本是第四版，而目前的版本为第五版。

Kerberos 第五版是 Windows 2000 开始加入的预设认证协议，Windows Server 2003 也继续采用 Kerberos 作为认证机制。

Kerberos 是 Windows Server System 系统安全的核心，所有的网域使用者在登入 Windows 2000 Server 或 Windows Server 2003 时，都必须先经过 Kerberos 这一关来确认身份，接着系统才能根据用户的身份授予相关的权限。

Kerberos 的历史Kerberos 其实是希腊神话中看守地狱大门的三头猛犬的名字，这头猛犬除了比一般狗狗多出两个狗头外，还有喷火与喷硫酸的特异功能。

总之呢，除非是像海格力士这号超级肌肉男，否则一般寻常百姓绝非 Kerberos 的对手。

由于Kerberos 象征着看门、守卫的意思，也因此当初 MIT 阿西娜小组便以此来命名他们所开发的认证协议。

简而言之，Kerberos 是一套认证的协议，利用「对称式加密法」(或称为「传统式加密法」、「秘钥加密法」)的原理，提供客户端与伺服端之间相互认证的功能。

也就是说，伺服端可透过此协议来确认客户端的身份，而客户端也可藉此确认伺服端的身份。

利用对称式加密法实作认证对称式加密法的定义为加密与解密时，必须使用相同的秘钥（secret key），以及相同或类似的算法，也就是利用秘钥将明文文字变成加密文字。

秘钥通常是一串固定长度(例如，128个位)的数据所组成。

在实际应用上，一般是以哈希函数(Hash function)，将用户的密码加以运算求得哈希值(Hash code)，再以哈希值作为为秘钥。

由于哈希函数为单向运算的函数，也就是说，其他人无法利用秘钥来反推原始的密码。