概述
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份验证。
这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够相互认证,即客户端和服务器端均可对对方身份进行认证。
可以用于防窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。
概念
KDC
密钥分发中心,负责管理发放票据,记录授权
域
Kerberos管理领域的标识。
principal
当每添加一个用户或服务的时候需要向kdc添加一条principal,principal的形式为:主名称/实例名@领域名。
主名称
可以是用户名或服务名,可以是单词host,表示是用于提供各种网络服务(如hdfs,yarn,hive)的主体
实例名
可以理解为主机名
领域
Kerberos的域
Kerberos认证原理
客户端初始验证
TGT只是KDC认同客户端的票证
获取服务访问
网友评论