CDH6安装kerberos(一)kerberos概念理解
CDH6安装kerberos(一)kerberos概念理解
CDH6安装kerberos(二)kerberos部署
CDH6安装kerberos(三)CDH集群启用Kerberos
CDH6安装kerberos(四)kerberos使用示例
一. Kerberos概述
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。
Hadoop使用Kerberos作为用户和服务的强身份验证和身份传播的基础。Kerberos是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。 Kerberos是第三方认证机制,其中用户和服务依赖于第三方(Kerberos服务器)来对彼此进行身份验证。 Kerberos服务器本身称为密钥分发中心或KDC。 在较高的层面上,它有三个部分:
它知道的用户和服务(称为主体)及其各自的Kerberos密码的数据库
一个认证服务器(AS)执行初始认证并颁发票证授予票证(TGT)
一个票据授权服务器(TGS)发出基于初始后续服务票证TGT
一个用户主要来自AS请求认证。AS返回使用用户主体的Kerberos密码加密的TGT,该密码仅为用户主体和AS所知。用户主体使用其Kerberos密码在本地解密TGT,从那时起,直到ticket到期,用户主体可以使用TGT从TGS获取服务票据。服务票证允许委托人访问各种服务。
Kerberos简单来说就是一个用于安全认证第三方协议,它采用了传统的共享密钥的方式,实现了在网络环境不一定保证安全的环境下,client和server之间的通信,适用于client/server模型,由MIT开发和实现。
Kerberos服务是单点登录系统,这意味着您对于每个会话只需向服务进行一次自我验证,即可自动保护该会话过程中所有后续事务的安全。
由于每次解密TGT时群集资源(主机或服务)都无法提供密码,因此它们使用称为keytab的特殊文件,该文件包含资源主体的身份验证凭据。 Kerberos服务器控制的主机,用户和服务集称为领域。
二. Kerberos基本概念
Princal(安全个体):被认证的个体,有一个名字和口令.(客户端或者服务端)
KDC(key distribution center): 认证过程的票据生成管理服务,其中包含两个服务,AS(Authentication Service)和TGS(Ticket Granting Service)。
Ticket:一个记录,客户用它来向服务器证明自己的身份,包括客户标识,会话密钥,时间戳.
AS(Authentication Server):认证服务器, 为client生成TGT的服务。
TGS(Ticket Grantion Server): 许可证服务器, 为client生成某个服务的ticket
TGT:Ticket-grantion Ticket : 用于获取ticket的票据
AD(Account Database): 存储所有client的白名单,只有存在于白名单的client才能顺利申请到ticket
三. Kerberos认证流程
(1)客户端执行kinit命令,输入Principal及Password,向AS证明身份,并请求获取TGT。
(2)AS检查Database中是否存有客户端输入的Principal,如有则向客户端返回TGT。
(3)客户端获取TGT后,向TGS请求ServerTicket。
(4)TGS收到请求,检查Database中是否存有客户端所请求服务的Principal,如有则向客户端返回ServerTicket。
(5)客户端收到ServerTicket,则向目标服务发起请求。
(6)目标服务收到请求,响应客户端。
CDH6安装kerberos(一)kerberos概念理解相关推荐
- [1067]CDH6.3.2之Kerberos安全认证
文章目录 Kerberos简介 Kerberos认证原理 Kerberos部署 Cloudera Manager平台上Kerberos的配置(在做此操作之前,请检查服务器时期是否正常) 常用命令 登录 ...
- linux分区概念理解,在linux安装中的分区概念(转)
在linux安装中的分区概念(转)[@more@] 首先我们需要知道,硬盘分区的存在,是由硬盘的物理特性决定的,并不会因为不同的操作系统而有所改变. 请您把一块硬盘想象为一本书--即便您不喜欢读书,您 ...
- Kerberos (一) --------- Kerberos 部署
目录 一.Kerberos 概述 1. 什么是 Kerberos 2. Kerberos 术语 3. Kerberos 认证原理 二.Kerberos 安装 1. 安装 Kerberos 相关服务 2 ...
- Hadoop:HDFS的概念理解和体系架构-成都加米谷大数据分享
HDFS是什么? HDFS 全称 Hadoop Distributed File System ,简称HDFS,是一个分布式文件系统.它是谷歌的GFS提出之后出现的另外一种文件系统.它有一定高度的容错 ...
- 一、TensorFlow的简介和安装和一些基本概念
1.Tensorflow的简介 就是一个科学计算的库,用于数据流图(张量流,可以理解成一个N维得数组). Tensorflow支持CPU和GPU,内部实现了对于各种目标函数求导的方式. 2.Tenso ...
- 大数据培训之核心知识点Hbase、Hive、Spark和MapReduce的概念理解、特点及机制等
今天,上海尚学堂大数据培训班毕业的一位学生去参加易普软件公司面试,应聘的职位是大数据开发.面试官问了他10个问题,主要集中在Hbase.Spark.Hive和MapReduce上,基础概念.特点.应用 ...
- 深度学习中IU、IoU(Intersection over Union)的概念理解以及python程序实现
from: 深度学习中IU.IoU(Intersection over Union)的概念理解以及python程序实现 IoU(Intersection over Union) Intersectio ...
- 高性能计算中并行的概念理解
高性能计算中并行的概念理解 分类: 并行计算高性能计算HPC - General2011-11-09 22:54 932人阅读 评论(0) 收藏 举报 编译器编程parallel优化formsvect ...
- 目标检测基本概念理解之IoU(交并比)以及Python代码实现
目标检测基本概念理解之IoU(交并比) 交并比理解 Python代码实现 计算IoU,矩形框的坐标形式为xyxy 计算IoU,矩形框的坐标形式为xywh 交并比理解 在检测任务中,使用交并比(Inte ...
最新文章
- 15个Android通用流行框架大全
- test libvirt
- 批量生成 Gitee 仓库克隆命令的方法
- BurpSuite v2021.8.2安装使用
- Mybatis入门---一对多、多对多
- xpath中两个冒号_爬虫学习(5)—XPath
- django使用用户名或手机号码登录
- mule esb_Mule ESB –入门
- app移动接口开发需要注意什么
- aforge 相机标定_c# – Aforge.net相机捕获并将图像保存到目录
- 关于微信小程序img标签不能显示图片的问题
- 【数据结构】AOE网——关键路径
- Win10有哪些方便快捷的操作小技巧?
- 现代家用计算机有哪些名称,世界上第一台现代电子计算机是什么?
- inurl:php?title=,查看“岗梅”的源代码
- openssl源码中的头文件include error
- ARM寄存器组织与异常处理
- 常用的工业相机及SDK
- oracle10漏洞补丁下载,Oracle漏洞修复工具
- MATLAB如何采用0~1的RGB值设置字体颜色?
热门文章
- 华南农业大学OJ数据结构 六一儿童节C/C++(贪心算法)
- 162. Python语言 的 Flask框架项目 之 项目准备 第三章 :工程创建和配置
- C语言实现三子棋(详解)
- 32单片机与计算机网络,细碎知识【5000字】【来源实习日记】【原创】
- 红帽子linux盒盖不休眠,通过CentOS 7.0 电源管理关闭笔记本合盖睡眠待机的方法...
- 微博:45度仰角的未来(一)冲击搜索引擎与门户网站
- 应用部署架构:如何降低云网络时延?
- iOS界面中的三维坐标系
- mysql适合储存高清电影的数据类型_下面选项中,适合存储高清电影的数据类型是 (5.0分)_学小易找答案...
- ScheduledExecutorService定时任务停止问题