2. 程式人生 > 實用技巧 >安全認證原理和認證機制 —— Kerberos(轉發)

安全認證原理和認證機制 —— Kerberos(轉發)

阿新 發佈:2020-12-28
原文:https://support.huaweicloud.com/devg3-mrs/mrs_07_020001.html 本文導讀

安全認證原理和認證機制

更新時間:2020/12/15 GMT+08:00

功能

開啟了 Kerberos認證的安全模式叢集,進行應用開發時需要進行安全認證。

Kerberos這一名詞來源於希臘神話“三個頭的狗——地獄之門守護者”,後來沿用作為安全認證的概念,使用Kerberos的系統在設計上採用“客戶端/伺服器”結構與AES等加密技術,並且能夠進行相互認證(即客戶端和伺服器端均可對對方進行身份認證)。可以用於防止竊聽、防止replay攻擊、保護資料完整性等場合,是一種應用對稱金鑰體制進行金鑰管理的系統。

結構

Kerberos的原理架構如圖1所示,各模組的說明如表1所示。

圖1原理架構

表1模組說明

模組

說明

Application Client

應用客戶端,通常是需要提交任務(或者作業)的應用程式。

Application Server

應用服務端,通常是應用客戶端需要訪問的應用程式。

Kerberos

提供安全認證的服務。

KerberosAdmin

提供認證使用者管理的程序。

KerberosServer

提供認證票據分發的程序。

步驟原理說明:

應用客戶端(Application Client)可以是叢集內某個服務,也可以是客戶二次開發的一個應用程式,應用程式可以嚮應用服務提交任務或者作業。

  1. 應用程式在提交任務或者作業前,需要向Kerberos服務申請TGT(Ticket-Granting Ticket),用於建立和Kerberos伺服器的安全會話。
  2. Kerberos服務在收到TGT請求後,會解析其中的引數來生成對應的TGT,使用客戶端指定的使用者名稱的金鑰進行加密響應訊息。
  3. 應用客戶端收到TGT響應訊息後,解析獲取TGT,此時,再由應用客戶端(通常是rpc底層)向Kerberos服務獲取應用服務端的ST(Server Ticket)。
  4. Kerberos服務在收到ST請求後,校驗其中的TGT合法後,生成對應的應用服務的ST,再使用應用服務金鑰將響應訊息進行加密處理。
  5. 應用客戶端收到ST響應訊息後,將ST打包到發給應用服務的訊息裡面傳輸給對應的應用服務端(Application Server)。
  6. 應用服務端收到請求後,使用本端應用服務對應的金鑰解析其中的ST,並校驗成功後,本次請求合法通過。

基本概念

以下為常見的基本概念,可以幫助使用者減少學習Kerberos框架所花費的時間,有助於更好的理解Kerberos業務。以HDFS安全認證為例:

TGT

票據授權票據(Ticket-Granting Ticket),由Kerberos服務生成,提供給應用程式與Kerberos伺服器建立認證安全會話,該票據的預設有效期為24小時,24小時後該票據自動過期。

TGT申請方式(以HDFS為例):

  1. 通過HDFS提供的介面獲取。 
    /**
  * login Kerberos to get TGT, if the cluster is in security mode
  * @throws IOException if login is failed
  */
  private void login() throws IOException {       
  // not security mode, just return
    if (! "kerberos".equalsIgnoreCase(conf.get("hadoop.security.authentication"))) {
        return;
    }
        
    //security mode
    System.setProperty("java.security.krb5.conf", PATH_TO_KRB5_CONF);
        
    UserGroupInformation.setConfiguration(conf);
    UserGroupInformation.loginUserFromKeytab(PRNCIPAL_NAME, PATH_TO_KEYTAB);        
  }
  2. 通過客戶端shell命令以kinit方式獲取。

ST

服務票據(Server Ticket),由Kerberos服務生成,提供給應用程式與應用服務建立安全會話,該票據一次性有效。

ST的生成在FusionInsight產品中,基於hadoop-rpc通訊,由rpc底層自動向Kerberos服務端提交請求,由Kerberos服務端生成。

認證程式碼例項講解

package com.huawei.bigdata.hdfs.examples;

import java.io.IOException;

import org.apache.hadoop.conf.Configuration;
import org.apache.hadoop.fs.FileStatus;
import org.apache.hadoop.fs.FileSystem;
import org.apache.hadoop.fs.Path;
import org.apache.hadoop.security.UserGroupInformation;

public class KerberosTest {
    private static String PATH_TO_HDFS_SITE_XML = KerberosTest.class.getClassLoader().getResource("hdfs-site.xml")
            .getPath();
    private static String PATH_TO_CORE_SITE_XML = KerberosTest.class.getClassLoader().getResource("core-site.xml")
            .getPath();
    private static String PATH_TO_KEYTAB = KerberosTest.class.getClassLoader().getResource("user.keytab").getPath();
    private static String PATH_TO_KRB5_CONF = KerberosTest.class.getClassLoader().getResource("krb5.conf").getPath();
    private static String PRNCIPAL_NAME = "develop";
    private FileSystem fs;
    private Configuration conf;
    
    /**
     * initialize Configuration
     */
    private void initConf() {
        conf = new Configuration();
        
        // add configuration files
        conf.addResource(new Path(PATH_TO_HDFS_SITE_XML));
        conf.addResource(new Path(PATH_TO_CORE_SITE_XML));
    }
    
    /**
     * login Kerberos to get TGT, if the cluster is in security mode
     * @throws IOException if login is failed
     */
    private void login() throws IOException {       
        // not security mode, just return
        if (! "kerberos".equalsIgnoreCase(conf.get("hadoop.security.authentication"))) {
            return;
        }
        
        //security mode
        System.setProperty("java.security.krb5.conf", PATH_TO_KRB5_CONF);
        
        UserGroupInformation.setConfiguration(conf);
        UserGroupInformation.loginUserFromKeytab(PRNCIPAL_NAME, PATH_TO_KEYTAB);        
    }
    
    /**
     * initialize FileSystem, and get ST from Kerberos
     * @throws IOException
     */
    private void initFileSystem() throws IOException {
        fs = FileSystem.get(conf);
    }
    
    /**
     * An example to access the HDFS
     * @throws IOException
     */
    private void doSth() throws IOException {
        Path path = new Path("/tmp");
        FileStatus fStatus = fs.getFileStatus(path);
        System.out.println("Status of " + path + " is " + fStatus);
        //other thing
    }


    public static void main(String[] args) throws Exception {
        KerberosTest test = new KerberosTest();
        test.initConf();
        test.login();
        test.initFileSystem();
        test.doSth();       
    }
}
說明:
  1. Kerberos認證時需要配置Kerberos認證所需要的檔案引數,主要包含keytab路徑,Kerberos認證的使用者名稱稱,Kerberos認證所需要的客戶端配置krb5.conf檔案。
  2. 方法login()為呼叫hadoop的介面執行Kerberos認證,生成TGT票據。
  3. 方法doSth()呼叫hadoop的介面訪問檔案系統,此時底層RPC會自動攜帶TGT去Kerberos認證,生成ST票據。
  4. 以上程式碼可在安全模式下的HDFS二次開發樣例工程中建立KerberosTest.java,執行並檢視調測結果,具體操作過程請參考HDFS開發指南(安全模式)
父主題:安全認證

相關推薦

安全認證原理認證機制 —— Kerberos轉發

原文:https://support.huaweicloud.com/devg3-mrs/mrs_07_020001.html 本文導讀 功能 結構 基本概念

提高.net程式效能穩定性-CLR Profile轉發

原文: https://blog.csdn.net/kntao/article/details/7077804 CLR Profile能夠看到應用程式的記憶體堆疊情況並且能夠查詢垃圾回收機制的行為。利用CLR Profile可以確定你的程式碼哪兒分配了太多記憶體,從而導致垃

開啟Kerberos認證叢集轉發

原文: https://support.huaweicloud.com/qs-mrs/mrs_09_0003.html 本文導讀 建立安全叢集並登入其Manager

hadoop叢集安裝配置Kerberos:hadoop叢集配置 kerberos 認證

技術標籤:大資料linuxhadoopkerberos 目錄 前言 一、配置 SASL認證證書 二、修改叢集配置檔案

kafka-manager配置及配置安裝KerberosCDH認證

不進行認證配置安裝:https://www.cnblogs.com/pzb-shadow/p/13030365.html 安裝kerbers:https://blog.csdn.net/huanqingdong/article/details/84979110

OCSwift混編——OC與Swift相互呼叫

WWDC推出了SwiftUI、Combine,僅Swift可用~為了能順利的也吃上SwiftUI,我也打算將自己的專案先從OC慢慢遷移到Swift,所以~一起從混編開始!

探索ES-物件巢狀物件

前文回顧 上篇文章寫了探索ES-入門Kibana,算是基本上講完了ElasticSearchKibana的安裝基本的概念。今天來正式講一講一些ElasticSearch在使用中會遇到的問題解決問題的方式方法。

python中單下劃線(_)雙下劃線__的特殊用法

函式使用單下劃線_開頭   使用單下劃線(_)開頭的函式_func不能被模組外部以: from module import *形式匯入。

win32郵槽程序的概念

接《win32管道技術程序通訊例項》,win32還有一種方法實現程序的通訊,就是郵槽。

win10系統安全解除安裝補丁的詳細步驟圖文

眾所周知,win10系統通常一個月都會有一兩次補丁更新,如果系統更新補丁後出現BUG、程式不相容、奔潰的現象,我們則需要解除安裝剛安裝的更新來解決。那麼win10系統如何安全解除安裝補丁,網上相關教程很多,但比較零

TCPUDP的區別Socket

TCPUDP的區別Socket TCPUDP區別 TCPUDP程式設計區別 TCP程式設計的伺服器端一般步驟是:  1、建立一個socket,用函式socket();  2、設定socket屬性,用函式setsockopt(); * 可選  3、繫

MongoDB 事務,複製分片的關係轉載

1.前言 MongoDB基於wiredTiger提供的泛化SI的功能,重構了readHistory(readMajority)的能力

淺談SpringMVC的攔截器InterceptorServlet 的過濾器Filter的區別與聯絡 及SpringMVC 的配置檔案

1.過濾器:   依賴於servlet容器。在實現上基於函式回撥,可以對幾乎所有請求進行過濾,但是缺點是一個過濾器例項只能在容器初始化時呼叫一次。使用過濾器的目的是用來做一些過濾操作,獲取我們想要獲取的資料.

程式設計師的數學基礎課 時間空間複雜度:優化效能是否只是“紙上談兵”?5

時間空間複雜度:優化效能是否只是“紙上談兵”? 你好,我是黃申。作為程式設計師,你一定非常清楚複雜度分析對編碼的重要性。計算機系統從最初的設計、開發到最終的部署,要經過很多的步驟,而影響系

程式設計師的數學基礎課 時間空間複雜度:優化效能是否只是“紙上談兵”?6 個通用法則

1.四則運演算法則 對於時間複雜度,程式碼的新增,意味著計算機操作的增加,也就是時間複雜度的增加。如果程式碼是平行增加的,就是加法。如果是迴圈、巢狀或者函式的巢狀,那麼就是乘法。比如二分查詢的程式碼中,

[SCOI2007]降雨量 線段樹區間最值RMQ問題

  這道題是比較經典的 \\(RMQ\\) 問題,用線段樹維護是比較簡單好寫的。比較難的部分是判斷處理。如果沒有想好直接打程式碼會調很久沒錯就是我。怎麼維護查詢區間最大值我就不再這裡贅述了,不懂線段樹的先去入

python學習33----Python 中 -m 的典型用法、原理解析與發展演變

轉自: https://zhuanlan.zhihu.com/p/91120727 -m 選項的兩種原理解析 看了前面的幾種典型用法,你是否開始好奇:“-m”是怎麼運作的?它是怎麼實現的?

暢購商城(八):微服務閘道器JWT令牌轉載

好好學習,天天向上本文已收錄至我的Github倉庫DayDayUP:github.com/RobodLee/DayDayUP,歡迎Star,更多文章請前往:目錄導航

【學習筆記】VS Code的launch.json 的 PythonChrome常用配置MacOS

遇到的問題: 1、無法直接用VS Code呼叫Chrome來開啟HTML檔案 2、VS Code呼叫Chrome成功後,Python直譯器無法啟動除錯了

CPF 入門教程 - 資料繫結命令繫結

CPF netcore跨平臺UI框架 系列教程 CPF 入門教程 CPF 入門教程 - 資料繫結命令繫結