Kerberos Snooping原理描述

Kerberos Snooping原理描述

Kerberos是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。Kerberos是第三方认证机制,通过第三方(Kerberos服务器)来对彼此进行身份验证。
Kerberos Snooping利用Kerberos认证技术,在接入设备上控制用户访问网络权限。如果接入设备收到特定的Kerberos报文,则认为用户认证通过,允许用户访问网络资源,具体请参见Kerberos认证过程。
Kerberos Snooping典型组网
如图5-1所示,Kerberos认证系统为典型的Client/Server结构,包括四个实体:客户端、接入设备、Kerberos服务器和应用服务器。
图5-1 Kerberos Snooping典型组网

图片.png

客户端:支持Kerberos协议的用户终端设备。
接入设备:客户端访问网络的网络控制点。
        在用户认证通过之前,仅允许DHCP、DNS、ARP、Kerberos协议报文通过。
        在用户认证通过后,允许用户访问网络资源。
Kerberos服务器:又称为密钥分发中心KDC(Key Distribution Center)或认证服务器,接收客户端认证请求的服务器系统。
 应用服务器:存储网络资源的设备。

Kerberos认证过程
客户端访问应用服务器,首先要获得访问应用服务器的Ticket。如图5-2所示,Kerberos整个认证过程可以分为3个子过程。
(1)Authentication Service Exchange:客户端向Kerberos服务器申请TGT(Ticket Granting Ticket)。
客户端向Kerberos服务器发送KRB_AS_REQ报文,报文中会携带自己的身份信息,用于申请TGT。Kerberos服务器验证客户端的身份信息,验证通过后,向客户端发送KRB_AS_REP报文,报文中会携带TGT。
(2)Ticket Granting Service Exchange:客户端通过获得的TGT向Kerberos服务器申请用于访问应用服务器的Ticket。
客户端通过获得的TGT向Kerberos服务器发送KRB_TGS_REQ报文,用于申请访问应用服务器的Ticket。Kerberos服务器验证客户端的身份信息,验证通过后,向客户端发送KRB_TGS_REP报文,报文中会携带Ticket。
(3)Client/Server Exchange:客户端向应用服务器提交Ticket。
客户端通过获得的Ticket向应用服务器发送KRB_AP_REQ报文。应用服务器验证客户端的Ticket,验证通过后,向客户端发送KRB_AP_REP报文,允许客户端访问资源。

而接入设备在整个过程中作为访问控制点,用户认证通过之前,不允许业务报文通过。接入设备根据预先配置的Kerberos服务器的IP地址和端口号来识别Kerberos服务器发来的报文,如果收到该服务器的KRB_AS_REP、KRB_TGS_REP或KRB_AP_REP报文,则认为用户认证通过,允许用户访问网络资源。
图5-2 Kerberos认证过程
图片.png


HTTP、HTTPS、SSL、TLS、CA证书、CSR(列表、list、全)HTTPLIST、HTTPSLIST、SSLLIST、TLSLIST、CALIST、CSRLIST、pkilist
http://www.zh-cjh.com/wenzhangguilei/2199.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html

1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » Kerberos Snooping原理描述

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!