身份与访问
Kerberos
别称: Kerberos 协议
定义
基于票据的网络认证协议,利用对称加密和受信的密钥分发中心实现跨服务的安全单点登录。
Kerberos 由 MIT 研发,标准化为 RFC 4120。客户端先向密钥分发中心(KDC)认证,获得票据授权票据(TGT)。随后凭 TGT 申请针对具体服务器的服务票据,从而无需多次传输密码。票据有时间限制,并以共享密钥加密,提供双向认证与防重放能力。Kerberos 支撑着 Active Directory、众多 Linux/Unix 域以及 Hadoop 部署中的认证。已知弱点包括针对弱服务账户口令的 Kerberoasting 攻击、伪造票据(Golden/Silver Ticket)以及时钟漂移问题;现代防御组合包括强服务账户密钥、仅使用 AES 加密以及受约束委派。
示例
- Active Directory 用户从 Windows 域控制器获得 TGT,再用其申请访问 SharePoint 的服务票据。
- Hadoop 使用 Kerberos 对 NameNode 与 DataNode 之间的通信进行认证。