Kerberos作为一种windows推荐的集成认证方式被广泛的应用,也有很多文章介绍Kerberos认证方式,这里通过一个Kerberos认证问题的调试试验来介绍一下Kerberos的认证流程以及相关的调试工具和方法。
Kerberos认证流程
总的来说Kerberos是通过统一的认证服务器来对客户端进行认证,认证成功后客户端才能取得访问真正服务器的凭据。所以认证流程中涉及了三个方面如下图所示。
客户端 - Client
凭据分发中心 - Key Distribution Center (包含认证服务和凭据分发服务)
服务器 - Server
认证流程(简化版)
第一步,客户端与认证服务通信,认证自己后得到访问凭据分发服务的session key
第二步,客户端与凭据分发服务通讯,得到他要访问的具体服务相应的凭据
第三步,客户端与服务器相互认证后,请求真正的服务器相关服务
当然这个过程中每个请求都包含的信息非常复杂,如果要具体了解可以参考这里
http://msdn.microsoft.com/en-us/library/ff647076.aspx
为什么客户端在第二步的时候可以得到具体的服务相应的的凭据,而不是整个服务器的凭据,这个是通过SPN (service principle name)来实现的。SPN注册在DC上面,SPN的格式一般为
服务类型名/主机名:端口号 注册用户
例如 Http/dof2008-01:8080 www.dof.com\dof02
正是因为有了SPN客户端请求的时候会确定其访问的服务类型,以及相应的主机名和端口号,这样凭据分发服务就可以在DC上面查找到相应的注册用户,然后通过这个注册用户的信息对接下来客户端要发送给服务器的凭据加密,服务器通过相应服务的用户信息对凭据解密从而可以认证客户端。
认证问题调试试验
问题描述
客户端访问服务器网站时,网站持续弹出认证窗口,即使输入正确的用户名和密码也是一样的结果,三次尝试失败之后显示未授权页面如下。
调试过程
调试问题需要用到以下工具
- klist - windows2008自带,用来显示、清除本地缓存的凭据
- setspn - windows2008自带,用来显示、注册更改spn
- network monitor -网络抓包
- system event log - 查看kerberos认证错误
首先清空IE缓存 - 命令:RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 8
清空本地缓存凭据 - 命令:klist purge
清空本地缓存dns记录 - 命令:ipconfig /flushdns
打开客户端kerberos认证系统日志 -添加以下注册表键值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Registry Value: LogLevel
Value Type: REG_DWORD
Value Data: 0x1
客户端打开networkmonitor开始抓网络包,通过IE发送请求,服务器弹认证对话框,输入用户名和密码发送。
查看系统日志发现如下错误。
有了具体错误代码就好办了,可以到微软下载这个文档,找到相应的代码出错原因。
Troubleshooting Kerberos Errors
对于我们得到的KRB_AP_ERR_MODIFIED错误而言,原因是客户端得到的票据在服务器端不能被正确解密,其原因多是由于SPN注册的账户与服务器服务实际用来解密的账户不符。接下来我们来验证两边账户是否统一。
首先看一下网络抓包,在客户端与票据分发服务交互的请求(KerberosV5:TGS)中,请求的服务为http/dof2008-01.www.dof.com。服务器会选择用相应spn注册账户来加密票据。
在服务器通过setspn命令查看相应的注册账户是什么,找到了注册账户为CN=dof1
得到了spn对应的账户,接下来看一下IIS服务器端对应的解密账户是什么。应用程序域账户dof1,这是正确的。
接下来看另外一个影响因素,windows认证的内核认证模式是否启用(如果启用内核认证模式,默认情况下会用主机名对应账户来解密客户端凭证),一看果然启用了内核认证模式。
解决办法
就这个问题而言有多种解决方案,比如
禁用内核认证方式
或者更改如下配置让内核认证方式下也要根据应用程序池的账户来解密凭据
也可以更改服务器spn设置使用服务器主机账户
总之要使得spn注册账户与服务器服务账户一致即可。
参考文档
Troubleshooting Kerberos
http://technet.microsoft.com/zh-cn/library/cc728430(v=ws.10).aspx
Troubleshooting Kerberos Errors
http://www.microsoft.com/en-us/download/details.aspx?id=21820
Troubleshooting Kerberos Delegation
http://www.microsoft.com/en-us/download/details.aspx?id=4754
Microsoft Kerberos
http://msdn.microsoft.com/en-us/library/aa378747.aspx
Kerberos Explained
http://technet.microsoft.com/en-us/library/bb742516.aspx
Explained: Windows Authentication in ASP.NET 2.0
http://msdn.microsoft.com/en-us/library/ff647076.aspx
分享到:
相关推荐
kerberos认证hive连接代码,springmvc配置加上java触发认证kerberos认证
flink写入带kerberos认证的kudu connector
java实现flink订阅Kerberos认证的Kafka消息源码
这个里面是kafka配置kerberos的详细步骤,其方式也可以应用到kafka自带的认证体系
Kerberos认证系统的研究与改进
tableau连接kerberos认证的impala,包含odbc及tableau自身认证两种模式,亲测有效。
kerberos安全认证demo,内含spark、oozie、mr、kafka、hive、hdfs、hbase等认证代码,并有对应开发文档等信息
用java语言实现的简单的kerberos,可以对客户端进行AS,tgs的认证
最近在研究hive数据库,但是Windows环境下hive数据库登录需要kerberos的认证,被kerberos的认真折磨了好几天,差不多把百度翻了个底朝天没找到实际价值,后来终于解决了。总结了一份文档
非常容易理解的kerberos认证过程讲解,kerberos最精华的部分是,让最后的认证发生在client和server之间,没有通过认证机构,节省了时间和服务资源
Hadoop部署和配置Kerberos安全认证全套流程。已经过实测并部署与生产环境。
Kerberos认证系统的设计与实现
1.集群中密钥的管理、分发 2.kerberos的整个工作流程以及认证机制
Kerberos认证协议的分析与改进,卓见,孙斌,Kerberos是一个研究较多、应用广泛且较成熟的身份认证协议;但是它也存在着一些局限性和缺陷。本文首先阐述Kerberos认证流程,并分析��
Kerberos 认证流程
Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务
基于Kerberos的身份认证机制研究
spark scala认证和代理认证hadoop的kerberos代码示例。
Authentication解决的是“如何证明某个人确确实实就是他或她所声称的那个人”的问题。对于如何进行Authentication,我们采用这样的方法:如果一个秘密(secret)仅仅存在于A和B,那么有个人对B声称自己就是A,B通过...
kerberos安全认证demo,内含spark、oozie、mr、kafka、hive、hdfs、hbase等认证代码,并有对应开发文档等信息。。。