什么是kerberos？

Question

我想学习使用kerberos的Hadoop安全性。我已经配置了这博客中的kerberos，但不知道如何处理。

• 我想知道它到底是怎么工作的？
• 如何在windows上使用hadoop。
• 如何将其配置为windows。

给我任何教程链接或概念来理解它。

Answer 1

在这里，您可以找到一些帮助链接；

• 我想知道它是如何工作的？
  • 很好的介绍，也是很短的- http://www.youtube.com/watch?v=kp5d8Yv3-0c。
  • 解释Kerberos的会话，它是如何构建的- http://web.mit.edu/kerberos/www/dialogue.html

​

• 如何在windows. 上使用它
  • http://doc.mapr.com/display/MapR/Configuring+Kerberos+Authentication+for+Windows
  • article=KB0011316

​

• 如何将其配置为windows.
  • 我认为windows中的成功配置没有明确的博客。然而，这个安装程序将启动一个启动- http://web.mit.edu/kerberos/kfw-4.0/kfw-4.0.html#announcement。

​

将进一步编辑我的答案，如果我能找到更多的细节。

Answer 2

我将尝试回答“kerberos是如何工作的？”这个问题。

具有身份验证服务器(AS)的客户机身份验证(AS)

1. 客户端将其客户端id发送到AS (身份验证服务器)。
2. 将查看数据库中是否存在客户端。如果它找到了客户端id，它将生成两条消息并被发送回客户端。在这个步骤中，将创建客户端与会话密钥。

Message A : {Client to AS session key} encrypted using secret key of the client(taken from database)

Message B : {Client Id, Client to AS session key, some other in formations} encrypted using AS secret key

现在，客户端可以解密Message A，并且可以使用他的秘密密钥获得Client vs AS session key，如果他自称是那个人的话。现在客户端拥有会话密钥，他可以向AS发出服务请求。

客户端服务授权

1. 客户端准备两条消息并将其发送给Client to Service server(SS) Session key

Message C : {Message B, Id of the service}

Message D : {Client ID, Time stamp} encrypted using Client to AS session key

1. 以及解密从消息C中提取的消息B，该消息将获得Client to AS session key和Client ID。使用会话密钥对消息D进行解密，并对两个Client ID进行比较，如果是相同的，则对客户端所请求的特定服务进行身份验证，并检查访问控制表的授权。如果他获得该服务的授权，它将准备两条消息并将其发送给客户端。

Message E : {Client ID, Client to SS session key, some other} encrypted by specific SS secret key

Message F : {Client to SS session key} encrypted using Client to AS Session key

现在客户端可以使用decrypt Message F使用Client to SS Session key，他将获得Client to SS session key。

客户端服务请求

客户端将连接到服务服务器(SS)，并执行以下步骤来接收服务

1. 客户端将准备并发送2条消息给SS。

Message G : {Message E}

Message H : {Client ID, time stamp} encrypted using Client to SS session key

1. 服务服务器现在可以使用其秘密密钥解密Message G (请记住，使用请求的SS密钥作为加密消息E)并可以获得客户端ID和Client to SS session key。SS将使用获取的会话密钥解密Message H，并从Message H获得客户ID。将比较来自Message H和Message G的两个客户端id，如果匹配，SS可以对请求进行身份验证。

身份验证还取决于基于实现的时间戳、客户地址和其他一些信息。这是kerberos协议的一种非常基本的方法。欲了解更多信息，请访问维基百科

Answer 3

在我的博客：Kerberos中，我试图解释Kerberos协议的部分内容。请随便检查一下。该报告的摘要如下：

Kerberos是一种基于对称密码体制的TCP/IP网络可信第三方认证协议。

Kerberos使用安全令牌和安全会话密钥提供加密的传输和身份验证，以保护客户端和服务器之间的通信。

kerberos模型基本上由kerberos服务器组成，该服务器对客户端进行身份验证并提供安全令牌，以便与票证授予服务或TGS交互。然后，TGS负责对此客户端进行身份验证，以访问实际服务器。

我试着用画报来描述它，并在我的博客中一步一步地描述它。