Kerberos认证服务配置-实验报告

5 Kerberos Snooping配置5.1 Kerberos Snooping原理描述5.2 Kerberos Snooping配置注意事项5.3 配置Kerberos Snooping5.4 维护Kerberos Snooping5.5 Kerberos Snooping配置举例5.1 Kerberos Snooping原理描述Kerberos是一种计算机网络认证协议，它允许某实体在非安全网络环境下通信，向另一个实体以一种安全的方式证明自己的身份。

Kerberos是第三方认证机制，通过第三方（Kerberos服务器）来对彼此进行身份验证。

Kerberos Snooping利用Kerberos认证技术，在接入设备上控制用户访问网络权限。

如果接入设备收到特定的Kerberos报文，则认为用户认证通过，允许用户访问网络资源，具体请参见Kerberos认证过程。

Kerberos Snooping典型组网如图5-1所示，Kerberos认证系统为典型的Client/Server结构，包括四个实体：客户端、接入设备、Kerberos服务器和应用服务器。

图5-1 Kerberos Snooping典型组网●客户端：支持Kerberos协议的用户终端设备。

●接入设备：客户端访问网络的网络控制点。

–在用户认证通过之前，仅允许DHCP、DNS、ARP、Kerberos协议报文通过。

–在用户认证通过后，允许用户访问网络资源。

●Kerberos服务器：又称为密钥分发中心KDC（Key Distribution Center）或认证服务器，接收客户端认证请求的服务器系统。

●应用服务器：存储网络资源的设备。

Kerberos认证过程客户端访问应用服务器，首先要获得访问应用服务器的Ticket。

如图5-2所示，Kerberos整个认证过程可以分为3个子过程。

1.Authentication Service Exchange：客户端向Kerberos服务器申请TGT（TicketGranting Ticket）。

基于Kerberos的访问控制实验设计Kerberos是一个网络身份验证协议，用于实现强大的访问控制机制。

在本实验设计中，我们将使用Kerberos协议来设计一个基于Kerberos的访问控制系统，以保护网络资源的安全性。

以下是实验的详细设计步骤和要求。

1. 实验背景Kerberos是一种基于票据的身份验证协议，可提供网络中用户和服务器之间的安全通信。

它采用了强大的加密算法和认证机制，能够有效地防止网络中的身份伪造和信息泄露。

本实验旨在通过设计一个基于Kerberos的访问控制系统，加深对Kerberos协议的理解，并掌握其在实际网络安全中的应用。

2. 实验目的- 理解Kerberos协议的工作原理和安全机制。

- 使用Kerberos协议设计一个访问控制系统，以实现对网络资源的安全访问。

- 掌握Kerberos协议的配置和使用方法。

3. 实验材料- 一台运行Kerberos服务的服务器- 多台用于模拟用户和服务器的计算机- 安装了Kerberos客户端软件的计算机4. 实验步骤4.1 配置Kerberos服务器- 安装Kerberos服务器软件，并按照官方文档进行配置。

- 创建一个Kerberos数据库，并配置主要的身份验证和访问控制策略。

4.2 创建Kerberos主体和用户- 在Kerberos服务器上创建主体，包括服务器和用户。

主体是在Kerberos中唯一标识实体的名称。

- 为每个用户和服务器生成密钥，并将其存储在Kerberos数据库中。

4.3 配置Kerberos客户端- 在每台模拟用户和服务器的计算机上安装Kerberos客户端软件。

- 配置Kerberos客户端以连接到Kerberos服务器，并导入相应的密钥。

4.4 实施访问控制- 根据实际需求，定义访问控制策略，包括哪些用户可以访问哪些服务器以及何时可以访问。

- 在每次访问服务器之前，用户需要通过Kerberos服务器进行身份验证并获取访问票据。

Kerberos 认证服务配置实验报告实验背景：在Win dows系统中的密钥管理及证书认证服务一般可通过Win dows服务器的证书服务和Kerberos 认证服务来实现。

实验目的：掌握Windows 2003 server 中Kerberos 认证服务的创建，了解Kerberos 工作原理。

实验条件：(1)Windows 2003 server 活动目录AD组件(2)基于Windows 2003 server 的PC机实验任务：( 1 ) 掌握Kerberos 基本原理(2)在系统中实现基于Kerberos 的认证实验内容：见以下两个练习题。

习题：1 、服务器端配置右击“我的电脑”，打开“属性”对话框：安装活动目录AD:选中“域控制器AD,单击“下一步”：麗务器角色，J您可以设置此服务器担任一亍或多亍特定角色.如果您想在此服务骼上添加一T以上的角邑.擁可以再次运行此向导°鶴羸霭黑蠶謡驚點鶴沁I耘已经症恥濒细除吕XJ域轻制器(Active Direcl.«r7)域控制器存储目录数据并营理用户登录处理和目录援索・阅读有关域控制豁的信息配置您的服务器自导选择总结查看并确认您选择的选项.总结⑤:运行Active Mrxtxy安装向导来将此服务器设置为域服务器要更改您的选挥，单击“上一步”-要继续设置此角色，单击“下一步".＜上一步©) |fE电取消 | 帮助 |Active Directory 安装向导欢迎使用Active Directory安装向导如果您是第1次安装Active Directory /連议您先阅读Active Dirc；tory帮紀驚产器聲蠶霸翡耀.Actlve助里的柘述。

要继续，诸单击“下一步”-Active Directory 安装向导2d 创建一个霸域L洁选择要创建的域的类型.创建一个新的：&在新秫甲的就迪能[ji&iuiaiuuiLiuiaiui JI&IUIBILIIJI-^R I_^如果这是燈单位的第一个域或您想让新域完全独立于您当前的林■谙选择这亍选顶.C在现育域祠中的子域©如果擁想让新域成为现有域的子域』诘选择此选项-例如•您可创建一个名宵headquarters. iriicrosoft. corri 的新域作为microsaft. com 鉞的子域.r在现有的林中的域树仪〕如果您不想使新域成为现有域的子域-请选择此选项.这将创建一个与现有碉分开的、新的或钙.'上一步@)[下沖@)》| 职消 |在“新域的DNS全名”中输入“权限谙选择用户和组对象的软认权限。

Kerberos身份认证方案5.1 身份认证概述Kerberos是IETF发布的一种身份认证标准协议（目前最新版本为V5）。

它采用对称密钥方案，也可以说是后面出现的非对称密钥方案的基础。

Kerberos协议应用非常广泛，特别是在Windows系统中（包括在Windows系统的内部网络登录中，目前也主要采用的是Kerberos协议）。

所以总体来说，Kerberos认证协议主要是在系统层中得到广泛应用，不过像交换机、路由器这些设备目前也有较多应用。

但是目前的国内图书市场上还没有见到全面、系统地介绍这种得到广泛应用的身份认证协议工作原理，以及协议体系结构。

笔者在IETF和Microsoft英文官方网站上进行搜集和翻译，然后整理、扩展了该协议比较全面的第一手专业资料，非常感谢IETF和Microsoft公司为我们提供了如此全面、深入的第一手专业技术资料。

本章重点* Kerberos V5身份认证机制。

* Kerberos V5身份认证的优点与缺点。

* Kerberos SSP体系架构。

* Kerberos物理结构。

* Kerberos V5身份认证的3个子协议。

* AS、TGS、CS交换。

* Kerberos交换消息。

* Kerberos的本地登录、域用户的工作站登录、单域身份认证和用户到用户的身份认证原理。

* Kerberos V5身份认证的启用与策略配置。

5.1 身份认证概述在正式介绍Kerberos身份认证协议之前，先来了解一下什么是身份认证。

这个概念同样适用于本书后面介绍的其他身份认证技术。

身份认证是系统安全的一个基础方面，它用来确认尝试登录域或访问网络资源的任何用户的身份。

Windows服务器系统身份认证针对所有网络资源启用“单点登录”（Single Sign-on，SSO）。

采用单点登录后，用户可以使用一个密码或智能卡一次登录到域，然后向域中的任何计算机验证身份。

身份认证的重要功能就是它对单点登录的支持。

附件《网络安全课程设计》实验报告格式2012-2013学年第2学期《网络安全课程设计》实验报告3实验名称：实验18 安全协议之Kerberos协议完成时间： 2014-6-4（练习三）姓名：石心刚学号：110342124姓名：何伊林学号：110342106姓名：白冠军学号：110342101姓名：尹新来学号：110342136姓名：饶明艺学号：110342122指导教师：崔鸿班级：110342A实验目的1.了解身份认证的原理及其重要意义2.学习Kerberos身份认证全过程3.学会在Linux下配置Kerberos身份认证系统系统环境Linux网络环境交换网络结构实验工具krb5 v1.6.2实验步骤本练习主机A～F为一组。

实验角色说明如下：首先使用“快照X”恢复Linux系统环境。

一．配置主KDC在此过程中，将使用以下配置参数：领域名称= LABDNS 域名= lab主KDC = labadmin 主体= admin/adminadmin主体密码：admin数据库管理密码：jlcss（1）首先为主KDC改名，编辑/etc/sysconfig/network文件，把HOSTNAME改为kdc1，保存后重启系统。

（2）配置/etc/resolv.conf文件使本机找到DNS服务器，修改内容如下。

其中domain后面用来标识DNS域名，nameserver后面则用来标识DNS服务器的IP地址。

在本实验中我们就以“应用服务器”作为DNS服务器，它的全限制域名是lab，IP可以根据实验情况进行调整。

（3）主KDC配置时钟同步服务ntpd。

Kerberos服务对于时间同步的要求是很高的，通过ntpd可以同步Kerberos系统中各台主机的时间。

修改/etc/ntp.conf，把OUT TIMESERVERS里的几行注释掉，然后添加一行。

上述内容表示对172.16.0.0网络内主机提供时钟同步服务。

（4）启动ntpd服务，输入：service ntpd start，然后将它设为开机自启，输入：chkconfig ntpd on。

kerberos 认证流程英文回答：Kerberos authentication is a widely used protocol for secure authentication in computer networks. It provides a way for clients and servers to prove their identities to each other and establish a secure communication channel.The Kerberos authentication process involves several steps:1. Client Authentication Request: The client sends a request to the Key Distribution Center (KDC) for authentication. The request includes the client's identity and a timestamp.2. Ticket Granting Ticket (TGT) Request: The KDC verifies the client's identity and issues a Ticket Granting Ticket (TGT) if the client is authenticated. The TGT is encrypted with the client's password or a session keyderived from the password.3. TGT Validation: The client receives the TGT and decrypts it using the client's password or session key. The client then verifies the authenticity of the TGT by checking its timestamp and the KDC's digital signature.4. TGT Usage: The client uses the TGT to request a Service Ticket (ST) from the KDC for a specific service. The client includes the TGT and the requested service's identity in the request.5. Service Ticket Request: The KDC verifies the TGT and issues a Service Ticket (ST) for the requested service if the client is authorized. The ST is encrypted with the service's secret key.6. ST Validation: The client receives the ST and decrypts it using the service's secret key. The client then verifies the authenticity of the ST by checking its timestamp and the KDC's digital signature.7. Service Authentication: The client presents the ST to the service and requests access. The service verifies the ST by decrypting it using its secret key and checking its timestamp and the KDC's digital signature.8. Secure Communication: If the ST is valid, the service grants access to the client and establishes a secure communication channel. The client and service can now exchange encrypted messages to protect the confidentiality and integrity of their communication.Kerberos authentication provides strong security by using encryption and digital signatures. It also supports single sign-on, where a user only needs to authenticate once to access multiple services.中文回答：Kerberos认证是计算机网络中广泛使用的安全认证协议。

(一)相关版本及服务器：(二)软件安装目录结构(四)环境变量(五)hadoop目录结构hdfs-site.xmlmapred-site.xmlcore-site.xml（六）单机运行的hadoop 1）配置文件hdfs-site.xml2)创建hdfs 和 mapred 用户及目录3）格式化节点4）启动namenode、datanode、secondarynamenode并创建临时目录、创建mapred.system.dir目录5)启动jobtracker、tasktracker确认是否运行正常。

然后下一步。

（七）搭建kerboeros服务器1）根据文档 CDH3_Security_Guide_u2.pdf 文档说明，Krb5-1.6.1 在 Red Hat Enterprise Linux5 及 CentOS 5 通过验证故先检查本机服务器的krb2）配置文件内容/etc/krb5.conf/var/kerberos/krb5kdc/kdc.conf配置域名3）生成kerberos数据库并启动详细配置、介绍、测试，可参见krb5安装与配置文档，此处略过（八）hadoop配置kerberos此处只描述大概的搭建步骤，无法详细叙原理及注意事项，强烈建议参照文档操作手册进行配置和搭建文档名称为：CDH3_Security_Guide_u2.pdf1）更改hdfs文件权限属性2)创建并生成用于hadoop进行kerberos验证的Principals 和 keytab 文件3）将生成的hdfs.keytab 和 mapred.keytab 文件拷贝到hadoop集群所有服务器4)5）如果haddop集群此时正在运行，停止6）为hadoop集群添加权限验证，修改配置文件core-site.xml注释: a)所有服务器的hdfs-site.xml文件必须保证一致b)参数_HOST在运行时，会自动替换为本机hostnameNameNode: 由 决定其hostnameDataNode: 由DNS反向解析决定其hostnameJobTracker: 由mapred.job.tracker 决定其hostnameTaskTracker: 由DNS反向解析决定其hostnamec)dfs.datanode.address 和 dfs.datanode.http.address 端口号必须低于10247）用hdfs用户，启动namenode节点及datanode节点8）启动datanode节点注意，datanode节点必须由root用户启动9）用hdfs用户，启动secondarynamenode 节点10）配置MapReducea)参数 mapred.local.dir 和 hadoop.log.dirs 在配置文件 mapred-site.xml 、taskcontroller.cfg 必须保持一直taskcontroller.cfg11)更改task-controol文件的权限12)用mapred用户启动 jobtracker13) 用mapred用户启动 tasktracker此时，将会报错，如下：原因：1)启动security模式后，hadoop将会读取native lib，文件位置：$HADOOP_HOME/lib/native/Linux-amd64-64/libhadoop.so2)hadoop-0.20.2-cdh3u3.tar.gz 编译生成的libhadoop.so为glibc2.63)CentOS 5.4的glibc版本为 glibc 2.5，版本不兼容故报错解决方法：根据服务器的情况，重新编译生成libhadoop.soa)部署ant，并配置环境变量b)部署 maven,并配置环境变量ok。