Was ist Kerberos Linux

Mohamed Flore
Was ist Kerberos Linux
„Kerberos Linux ist ein Authentifizierungsprotokoll für einzelne Linux -Benutzer in jeder Netzwerkumgebung. Es hilft, sichere einzelne Anmeldungen (SSO) oder sichere Netzwerkanmeldungen über nicht sicher. Und ein gutes Beispiel für ein nicht sicheres Netzwerk ist das Internet.

Mit diesem Protokoll können Sie jedes kerberos-fähige Programm auf dem Linux-Betriebssystem jedes Mal Kennwörter verwenden. Kerberos ist auch mit anderen wichtigen Betriebssystemen wie Apple Mac OS, Microsoft Windows und FreeBSD kompatibel.

Der Hauptzweck von Kerberos Linux besteht darin, den Benutzern ein Mittel zur Verfügung zu stellen, um sich zuverlässig und sicher zu Programmen zu authentifizieren, die sie innerhalb des Betriebssystems verwenden. Natürlich, die dafür verantwortlich sind, Benutzer zu autorisieren, um auf diese Systeme oder Programme innerhalb der Plattform zuzugreifen. Kerberos kann leicht mit sicheren Buchhaltungssystemen übereinstimmen, um sicherzustellen, dass das Protokoll die AAA -Triade effizient durch Authentifizierung, Autorisierung und Buchhaltungssysteme effizient vervollständigt.”

Dieser Artikel konzentriert sich nur auf Kerberos Linux. Und abgesehen von der kurzen Einführung werden Sie auch Folgendes lernen

  • Komponenten des Kerberos -Protokolls
  • Konzepte des Kerberos -Protokolls
  • Umgebungsvariablen, die den Betrieb und die Leistung von Kerberos-fähigen Programmen beeinflussen
  • Eine Liste der gemeinsamen Kerberos -Befehle

Komponenten des Kerberos -Protokolls

Während die neueste Version für Project Athena am MIT (Massachusetts Institute of Technology) entwickelt wurde, begann die Entwicklung dieses intuitiven Protokolls in den 1980er Jahren und wurde erstmals 1983 veröffentlicht. Es leitet seinen Namen von Cerberos, der griechischen Mythologie ab und enthält 3 Komponenten, einschließlich;

  1. Ein Primär- oder Prinzip ist ein eindeutiger Kennung, zu dem das Protokoll Tickets zuweisen kann. Ein Direktor kann entweder ein Anwendungsdienst oder ein Client/Benutzer sein. Sie erhalten also einen Service -Principal für Anwendungsdienste oder eine Benutzer -ID für Benutzer. Benutzernamen für die Grundschule für Benutzer, während der Name eines Dienstes der Vorbild für den Dienst ist.
  2. Eine Kerberos -Netzwerkressource; ist ein System oder eine Anwendung, die den Zugriff auf die Netzwerkressource ermöglicht, die über ein Kerberos -Protokoll eine Authentifizierung benötigt. Diese Server können Remote -Computing, Terminalemulation, E -Mail sowie Datei- und Druckdienste enthalten.
  3. Ein Schlüsselverteilungszentrum oder KDC ist der vertrauenswürdige Authentifizierungsdienst, Datenbank- und Ticket-Granting-Dienst oder TGs des Protokolls. Somit hat ein KDC 3 Hauptfunktionen. Es ist stolz auf die gegenseitige Authentifizierung und ermöglicht es Knoten, ihre Identität angemessen miteinander zu beweisen. Der zuverlässige Kerberos -Authentifizierungsprozess nutzt eine konventionelle gemeinsame geheime Kryptographie, um die Sicherheit von Informationspaketen zu gewährleisten. Diese Funktion macht Informationen in verschiedenen Netzwerken unlesbar oder unveränderlich.

Die Kernkonzepte des Kerberos -Protokolls

Kerberos bietet Servern und Clients eine Plattform, um eine verschlüsselte Schaltung zu entwickeln, um sicherzustellen, dass alle Mitteilungen innerhalb des Netzwerks privat bleiben. Um seine Ziele zu erreichen, haben Kerberos -Entwickler bestimmte Konzepte zur Leitung seiner Verwendung und Struktur dargelegt

  • Es sollte niemals die Übertragung von Kennwörtern über ein Netzwerk zulassen, da Angreifer auf Benutzer -IDs und Passwörter zugreifen, abhören und abfangen können.
  • Keine Speicherung von Kennwörtern in PlainText auf Clientsystemen oder auf Authentifizierungsservern
  • Benutzer sollten nur nach jeder Sitzung (SSO) Kennwörter eingeben und alle Programme und Systeme akzeptieren, von denen sie zugreifen können.
  • Ein zentraler Server speichert und verwaltet alle Authentifizierungsanmeldeinformationen jedes Benutzers. Dies macht den Schutz der Benutzeranmeldeinformationen zum Kinderspiel. Während die Anwendungsserver die Authentifizierungsdaten eines Benutzers nicht speichern, ermöglicht es eine Reihe von Anwendungen. Der Administrator kann den Zugriff eines Benutzers auf jeden Anwendungsserver widerrufen, ohne auf seine Server zuzugreifen. Ein Benutzer kann seine Passwörter nur einmal ändern oder ändern, und er kann weiterhin auf alle Dienste oder Programme zugreifen, die er befugt hat, zugreifen zu können.
  • Kerberos -Server arbeiten in begrenzt Bereiche. Domainnamen -Systeme identifizieren Realms, und in der Domäne des Prinzipiens wird der Kerberos -Server betrieben.
  • Sowohl Benutzer als auch Anwendungsserver müssen sich dann authentifizieren, wenn sie aufgefordert werden.Während Benutzer sich während der Anmeldung authentifizieren sollten, müssen sich Anwendungsdienste möglicherweise mit dem Client authentifizieren.

Kerberos -Umgebungsvariablen

Insbesondere arbeitet Kerberos unter bestimmten Umgebungsvariablen, wobei die Variablen direkt den Betrieb von Programmen unter Kerberos beeinflussen. Wichtige Umgebungsvariablen umfassen KRB5_KTNAME, KRB5CCNAME, KRB5_KDC_PROFILE, KRB5_TRACE, KRB5RCACHETYPE und KRB5_CONFIG.

Die Variable kRB5_Config gibt den Speicherort der Schlüssel -Registerkarten -Dateien an. Normalerweise erfolgt eine Registerkartendatei von Schlüssel zur Form von Typ: Rest. Und wo kein Typ existiert, Restwert wird zum Pfadnamen der Datei. Der KRB5CCName definiert den Standort von Anmeldeinformationen Caches und existiert in Form von Typ: Rest.

Die Variable kRB5_Config gibt den Speicherort der Konfigurationsdatei an, und die KRB5_KDC_PROFILE -. Im Gegensatz dazu gibt die Variable kRB5rcachetype Standardtypen von Replay -Caches an, die für die Server verfügbar sind. Schließlich enthält die Variable kRB5_Trace den Dateinamen, auf dem die Trace -Ausgabe geschrieben werden soll.

Ein Benutzer oder ein Auftraggeber muss einige dieser Umgebungsvariablen für verschiedene Programme deaktivieren. Zum Beispiel, SetUid oder Login -Programme sollten beim Durchlaufen nicht vertrauenswürdiger Quellen ziemlich sicher bleiben. Daher müssen die Variablen nicht aktiv sein.

Gemeinsame Kerberos Linux -Befehle

Diese Liste besteht aus einigen der wichtigsten Kerberos -Linux -Befehle im Produkt. Natürlich werden wir sie in anderen Abschnitten dieser Website ausführlich besprechen.

Befehl Beschreibung
/usr/bin/kinit Erhält die anfänglichen Ticket-Granting-Anmeldeinformationen für Principal
/usr/bin/klist Zeigt vorhandene Kerberos -Tickets an
/usr/bin/ftp Befehl Dateiübertragungsprotokoll
/usr/bin/kdestroy Kerberos Ticket -Zerstörungsprogramm
/usr/bin/kpasswd Ändert Passwörter
/usr/bin/rdist Verteilt Remotedateien
/usr/bin/rlogin Ein Fernanmeldungsbefehl
/usr/bin/ktutil Verwalten Sie die Registerkartendateien
/usr/bin/rcp Kopiert Dateien remote
/usr/lib/krb5/kprop Ein Datenbankvermeidungsprogramm
/usr/bin/telnet Ein Telnet -Programm
/usr/bin/rsh Ein Remote -Shell -Programm
/usr/sbin/gssscred Verwaltet GSSCred -Tabelleneinträge
/usr/sbin/kdb5_ldap_uti Erstellt LDAP -Container für Datenbanken in Kerberos
/usr/sbin/kgcmgr Konfiguriert Master KDC und Slave KDC
/usr/sbin/kclient Ein Client -Installationsskript

Abschluss

Kerberos unter Linux gilt als das sicherste und am häufigsten verwendete Authentifizierungsprotokoll. Es ist ausgereift und sicher und ideal für die Authentifizierung von Benutzern in einer Linux -Umgebung. Darüber hinaus können Kerberos Befehle ohne unerwartete Fehler kopieren und ausführen. Es verwendet eine Reihe starker Kryptographie, um vertrauliche Informationen und Daten in verschiedenen ungesicherten Netzwerken zu schützen.

AWS
Ein Vergleich zwischen CloudTrail und GuardDuty
AWS CloudTrail wird verwendet, um Aktivitäten über die AWS -Infrastruktur hinweg zu überwachen und z...
Fr. Chris Frisch
C ++
So verwenden Sie Boolesche Ausdrücke in C ++
Ein boolescher Ausdruck ist eine Kombination von Operatoren mit einem Operanden und wird verwendet, ...
Ahmed Stöckert
c scharf
So verwenden Sie Wurf Keyword in C#
Das Wurf -Schlüsselwort ist wie eine Sprungerklärung in C#, die eine Ausnahme ausschöpfen kann. Ausn...
Jean Dengler
Python
Pandas nach Latex
Fr. Chris Frisch
Python
Entfernen Sie Sonderzeichen von String Python
Lars Daub
Python
Python Nicht alle Argumente, die während der String -Formatierung konvertiert wurden
Prof. Dr. Julien Plank
Linux -Befehle
So installieren und aktivieren Sie die SSH-Multi-Faktor-Authentifizierung für Linux-Systeme
Gian Eisenlauer
JavaScript
Verwendung von GetElementsByTagName -Methoden in JavaScript
Ahmed Stöckert
JavaScript
Was macht die ATOB -Methode in JavaScript?
Frederik Rodehau
JavaScript
Was macht W Metacharacter in Regexp von JavaScript?
Fr. Chris Frisch
Php
Was ist ein undefinierter Indexfehler in PHP und wie man ihn behebt??
Christopher Lammert
AWS
Welche AWS -Tools und DevOps benötigen, um eine Web -App zu entwickeln?
Lars Daub
AWS
Was ist der Batch -Prozess und wie man ihn in AWS verwendet??
Arved Riermeier