admin管理员组

文章数量:1122847

1.Kerberos&LDAP 简介

(1)Kerberos 是安全认证的概念,该系统设计上采用客户端/服务器结构与 DES、 AES 等加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止 reply 攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。

Kerberos 基本概念:

票据授权票据 (TGT Ticket-Granting Ticket) :用于应用程序与 KDC(Key Distribution Center 密钥分发中心)服务器建立安全会话的票据,票据授权票据存在有效期,当票据授权票据失效后,应用侧需要重新建立与 KDC 服务器的安全会话。会话有效期为 24 小时,不可配置。

服务票据(STServiceTicket):用于应用程序与服务端建立安全会话的票据,服务票据存在有效期,当服务票据失效后,应用侧需要重新建立与服务端的安全会话。默认有效期为 5 分钟,不可配置。

(2) Ldap(LightweightDirectoryAccessProtocol),轻量目录访问协议,提供被称为目录服务的信息服务,特别是基于 X.500(构成全球分布式的目录服务系统的协议)的目录服务。Ldap 运行在 TCP/IP 或其他面向连接的传输服务之上。 Authentication 解决的是“如何证明某个人确确实实就是他或她所声称的那个人”的问题。对于如何进行 Authentication,我们采用这样的方法:如果一个秘密(secret)仅仅存在于 A 和 B,那么有个人对 B 声称自己就是 A,B 通过让 A 提供这个秘密来证明这个人就是他或她所声称的 A。这个过程实际上涉及到 3 个重要的关于 Authentication 的方面:

(1)Secret 如何表示。

(2)A 如何向 B 提供 Secret。

(3)B 如何识别 Secret。

基于这 3 个方面,我们把 KerberosAuthentication 进行最大限度的简化:整个过程涉及到 Client 和 Server,他们之间的这个 Secret 我们用一个 Key (KServer-Client)来表示。Client 为了让 Server 对自己进行有效的认证,向对方提供如下两组信息:

代表 Client 自身 Identity 的信息,为了简便,它以明文的形式传递。将 Client 的 Identity 使用 KServer-Client 作为 PublicKey、并采用对称加密算法进行加密。由于 KServer-Client 仅仅被 Client 和 Server 知晓,所以被 Client 使用 KServer-Client 加密过的 ClientIdentity 只能被 Client 和 Server 解密。同理,Server 接收到 Client 传送的这两组信息,先通过 KServer-Client 对后者进行解密,随后将机密的数据同前者进行比较,如果完全一样,则可以证明Client 能过提供正确的 KServer-Client,而这个世界上,仅仅只有真正的 Client和自己知道 KServer-Client,所以可以对方就是他所声称的那个人。Keberos 大体上就是按照这样的一个原理来进行 Authentication 的。但是 Kerberos 远比这个复杂。

2.LDAP 文件结构

LDAP 信息模型是基于条目来组织的,一个条目是一组属性的集合,有一个全球唯一的识别名(DN,DomainName)。

DN 用于标识条目。每个条目的属性有一个类型和一个或多个值。该类型通常是可记忆的字符串,如“cn”就是标识通用名称,或者“电子邮件”就是电子邮件地址。该类型值的语法依赖于属性类型。

树也可以根据互联网域名组织。这种命名方式目前在业界非常普遍,因为它允许使用 DNS 为目录服务定位。

 

3.

本文标签: 密钥技术kerberosLDAPamp