Kerberos是一种基于ticket的身份认证协议,用来在非安全网络中(如NFS),对个人通信以安全的手段进行身份认证。
它被广泛运用在大数据生态中,甚至可以说是大数据身份认证的事实标准(ldap + kerberos)。
在神话中kerberros为三头犬,司职守护
Kerberos 主要由三个部分组成:KDC(即Key Distribution Center)、Client 与 Service
组成:
KDC key distribution center 密钥分发中心 由三个组成部分:
kerberos database 存放用户注册信息
AS authentication server 验证服务器 分发TGT TST
TGS ticket granting server 票证授予服务器 分发SST
重要概念
session key 随机生成的会话钥
secre key 密钥
ticket 票据
Authenticator 客户端信息 包含CID 与时间戳timestamp
在其验证过程中C端要与KDC进行两次交互,与server进行一次交互,才能建立安全的连接
连接过程:
0.初始 C在kerberos中注册的信息:CID (client ID) 目标serverID SID ( server ID) TGT的有效寿命 lifetime IP
KDC有CID 用户密钥CSK (client secret key)
1.C -> AS 传输CT(CID SID livetime)
2.AS 校验KD中的CID中的信息与无误
3.AS -> C CSecK(client secret key)【 TSK(ticket granting server session key) 】
TGT