关于Kerberos的一些简单问题

时间:2015-07-08 05:44:57

标签: kerberos

我正在学习关于kerberos的事情,我对它没有任何疑问,我没有在网络上找到它,我想问你。

问题是:

  1. 更改用户密码后会发生什么?真的要落后了什么?它使用的服务是什么?我想知道更改密码后KDS的步骤和行为方式
  2. 为什么kerberos的名字叫做hades dog / 3 head dog?它们之间有什么联系?
  3. 在kerberos系统中,我如何看到我从KDC回来的门票?

    4. 提前谢谢。

4 个答案:

答案 0 :(得分:1)

我只回答你的第二个问题。 对三头狗的提及是有3个不同的实体:

  • 客户端系统
  • 身份验证服务器
  • 服务服务器(您尝试访问的内容)

大多数身份验证协议仅涉及客户端和服务器。

答案 1 :(得分:1)

  1. 来自Jason Garman的"Kerberos: The definitive guide"书:

      

    希腊人认为,当一个人去世时,他的灵魂被送到哈迪斯去度过永恒。虽然所有的灵魂都被送到了哈迪斯,但那些过上美好生活的人将会幸免于那些没有必要忍受的人的永恒惩罚。塞伯鲁斯作为哈迪斯的守门人,确保只有死者的灵魂进入哈迪斯,并且他确保灵魂不会在内心逃脱。

         

    作为Hades的守门人,Cerberus对那些试图进入的人进行了身份验证(以确定他们是死了还是活着)并使用该身份验证来确定是否允许访问。就像古老的Cerberus一样,现代的Kerberos会对那些试图访问网络资源的用户进行身份验证。

  2. 您可以使用klist命令查看门票列表。如果您的字面意思是看到存储票据的文件,那么此命令也会为您提供票证缓存的路径。在使用MIT Kerberos的* nix系统上,它默认为/tmp/krb5cc_%{uid}。此命令也适用于Windows,但我不确定它是否默认安装。

答案 2 :(得分:1)

**** 1。更改用户密码后会发生什么?****

他们将获得一个新密码,没有什么特别的,只要故障单有效,它就不会影响我所知道的现有kerberos票证缓存。如果他们必须在以后的任何地方输入密码,例如,如果您必须运行kinit命令来获取输入密码的票证,那么您必须使用新密码。

不应该有很多"同步"时间或任何事情,但至关重要的是服务器上的时间与KDC同步,因为Kerberos严格关于时间同步,默认情况下有5分钟的时钟偏差,所以它只能在我的时间不超过5分钟或者事情会开始失败。通常,您可以通过运行ntpdate命令来同步时钟来在linux上执行此操作。

*** 1a上。真的要落后了什么?它使用的服务是什么?我想知道在更改密码****

之后KDS的步骤和行为方式

取决于您的设置,您有多种选择,但这里有一些更常见的设置。

最常见的设置是运行企业Active Directory环境。在基本的Active Directory设置中,您的域控制器会自动运行您的KDC。因此,您只需重置Active Directory用户密码,然后就可以了,它将为您完成KDC的更改。

第二种是为您的用户运行OpenLDAP类型环境而不是Active Directory,您可以在其中更改OpenLDAP中的密码,然后使用kpasswd命令更新MIT Kerberos KDC中的密码以重置密码麻省理工学院KDC的校长,除非你设置了诸如pass-through authentication之类的东西。

我在MIT Kerberos KDC中看到的第三个设置,没有任何LDAP环境。通常,kerberos用户是操作系统上的本地用户帐户。在这种情况下,您只需使用我之前提到的kpasswd命令更新MIT KDC上的密码,即可在MIT KDC上更新用户的keberos主密码。

<强> 2。为什么kerberos的名字叫做hades dog / 3 head dog?它们之间有什么联系?

除了基于之前的答案之外,Kerberos类似于3头狗,因为它在进行身份验证时执行3次握手。这三个部分是密钥分发中心(KDC),客户端和服务器。这篇文章给出了一个很好的解释,它略微偏离,因为它是在讨论特定的软件,但在Paper 476-2013 Kerberos and SAS® 9.4: A Three-Headed Solution for Authentication by Stuart Rogers, SAS Institute的第1页底部,你会发现具体的细节。

<强> 3。在kerberos系统中,我怎样才能看到我从KDC回来的门票?

如果您有票证,则可以运行klist命令。为klist -ef附加-ef以查看加密类型以及转发,初始,续订等任何标志。请参阅http://web.mit.edu/Kerberos/krb5-1.13/doc/user/user_commands/klist.html 的klist文档中的MIT文档。

您可以通过运行kinit命令然后输入您的校长密码来获取故障单。 您可以通过运行kdestroy来清除当前票证来销毁票证缓存。这不过必然会从缓存目录中删除它们。

如果您有keytab文件,可以通过运行klist -kt /path/to/myuser.keytab查看密钥表的主要内容来查看有关它的详细信息。每种加密类型都会使用一个主体,这就是为什么它有时会列出多个相同的加密类型。您将看到一个KVNO编号,这是您的密钥版本号,此编号应始终与每个校长匹配。

答案 3 :(得分:0)

问题的答案是:

  1. 一旦更改了主体的密码,那么在您运行kinit命令获取故障单后的那个时间点之后,您应该使用新密码
  2. Kerberos的名字取自希腊神话; Kerberos(Cerberus)是一只三头狗,守卫着哈迪斯的大门。 Kerberos协议的三个头代表客户端,服务器和密钥分发中心(KDC)。
  3. 要查看从KDC获得的票证,您可以运行 klist 命令,如果要提供本金,票证生命周期等详细信息。 故障单确实存在的位置取决于您在/etc/krb5.conf中提供的内容,默认情况下为 default_ccache_name = FILE:/ tmp / krb5cc _%{uid}
相关问题
最新问题