Kerberos是誕生於上個世紀90年代的計算機認證協議,被廣泛應用於各大作業系統和Hadoop生態系統中。瞭解Kerberos認證的流程將有助於解決Hadoop叢集中的安全配置過程中的問題。為此,本文根據最近閱讀的一些材料,詳細介紹Kerberos認證流程。歡迎斧正!
Kerberos解決什麼問題?
簡單地說,Kerberos提供了一種單點登入(SSO)的方法。考慮這樣一個場景,在一個網路中有不同的伺服器,比如,列印伺服器、郵件伺服器和檔案伺服器。這些伺服器都有認證的需求。很自然的,不可能讓每個伺服器自己實現一套認證系統,而是提供一箇中心認證伺服器(AS-Authentication Server)供這些伺服器使用。這樣任何客戶端就只需維護一個密碼就能登入所有伺服器。
因此,在Kerberos系統中至少有三個角色:認證伺服器(AS),客戶端(Client)和普通伺服器(Server)。客戶端和伺服器將在AS的幫助下完成相互認證。
在Kerberos系統中,客戶端和伺服器都有一個唯一的名字,叫做Principal。同時,客戶端和伺服器都有自己的密碼,並且它們的密碼只有自己和認證伺服器AS知道。
簡化的Kerberos認證流程
首先來看現實生活中的類似的一個例子。假如你要去社群事務中心去辦理居住證,但是社群事務中心並不能確定你的身份,因此需要你去派出所開據證明,證明你就是你。那麼,通常的流程是這樣的:
1. 你帶好身份證和相應的材料去派出所,向JCSS說明你要辦居住證,需要開據相應的證明。
2. JCSS根據他們的內部系統,核實了你提供的材料並開據了證明,上面蓋有派出所的紅章。
3. 你再拿著這個證明再去社群事務中心,社群事務中心的工作人員看到了JCSS提供的證明,就可以確定你的身份,便開始給你辦理業務。
Kerberos是誕生於上個世紀90年代的計算機認證協議,被廣泛應用於各大作業系統和Hadoop生態系統中。瞭解Kerberos認證的流程將有助於解決Hadoop叢集中的安全配置過程中的問題。為此,本文根據最近閱讀的一些材料,詳細介紹Kerberos認證流程。歡迎斧正!
Kerberos解決什麼問題?
簡單地說,Kerberos提供了一種單點登入(SSO)的方法。考慮這樣一個場景,在一個網路中有不同的伺服器,比如,列印伺服器、郵件伺服器和檔案伺服器。這些伺服器都有認證的需求。很自然的,不可能讓每個伺服器自己實現一套認證系統,而是提供一箇中心認證伺服器(AS-Authentication Server)供這些伺服器使用。這樣任何客戶端就只需維護一個密碼就能登入所有伺服器。
因此,在Kerberos系統中至少有三個角色:認證伺服器(AS),客戶端(Client)和普通伺服器(Server)。客戶端和伺服器將在AS的幫助下完成相互認證。
在Kerberos系統中,客戶端和伺服器都有一個唯一的名字,叫做Principal。同時,客戶端和伺服器都有自己的密碼,並且它們的密碼只有自己和認證伺服器AS知道。
簡化的Kerberos認證流程
首先來看現實生活中的類似的一個例子。假如你要去社群事務中心去辦理居住證,但是社群事務中心並不能確定你的身份,因此需要你去派出所開據證明,證明你就是你。那麼,通常的流程是這樣的:
1. 你帶好身份證和相應的材料去派出所,向JCSS說明你要辦居住證,需要開據相應的證明。
2. JCSS根據他們的內部系統,核實了你提供的材料並開據了證明,上面蓋有派出所的紅章。
3. 你再拿著這個證明再去社群事務中心,社群事務中心的工作人員看到了JCSS提供的證明,就可以確定你的身份,便開始給你辦理業務。