Entry № 655
Kerberos
Kerberos 是什么?
Kerberos基于票据的网络认证协议,利用对称加密和受信的密钥分发中心实现跨服务的安全单点登录。
Kerberos 由 MIT 研发,标准化为 RFC 4120。客户端先向密钥分发中心(KDC)认证,获得票据授权票据(TGT)。随后凭 TGT 申请针对具体服务器的服务票据,从而无需多次传输密码。票据有时间限制,并以共享密钥加密,提供双向认证与防重放能力。Kerberos 支撑着 Active Directory、众多 Linux/Unix 域以及 Hadoop 部署中的认证。已知弱点包括针对弱服务账户口令的 Kerberoasting 攻击、伪造票据(Golden/Silver Ticket)以及时钟漂移问题;现代防御组合包括强服务账户密钥、仅使用 AES 加密以及受约束委派。
● 示例
- 01
Active Directory 用户从 Windows 域控制器获得 TGT,再用其申请访问 SharePoint 的服务票据。
- 02
Hadoop 使用 Kerberos 对 NameNode 与 DataNode 之间的通信进行认证。
● 常见问题
Kerberos 是什么?
基于票据的网络认证协议,利用对称加密和受信的密钥分发中心实现跨服务的安全单点登录。 它属于网络安全的 身份与访问 分类。
Kerberos 是什么意思?
基于票据的网络认证协议,利用对称加密和受信的密钥分发中心实现跨服务的安全单点登录。
如何防御 Kerberos?
针对 Kerberos 的防御通常结合技术控制与运营实践,详见上方完整定义。
Kerberos 还有哪些其他名称?
常见的别称包括: Kerberos 协议。