使用kerberos python验证凭据
使用Kerberos Python验证凭据是一种在网络环境中进行身份验证的方法。Kerberos是一种网络认证协议,旨在提供强大的身份验证机制,以保护用户免受身份欺骗和数据泄露的威胁。
Kerberos的验证过程涉及三个主要实体:客户端、服务器和Kerberos服务器(KDC)。以下是验证过程的简要描述:
- 客户端请求凭据:客户端首先向KDC请求凭据。凭据通常是加密的票据,用于证明客户端身份。
- KDC发出票据:KDC验证客户端的身份,并为客户端生成一个票据,其中包含客户端的身份信息和用于进行后续通信的密钥。
- 客户端验证票据:客户端收到票据后,使用其密钥解密票据,并验证其中的信息。
- 客户端向服务器提供票据:客户端使用票据向服务器发送请求。此票据证明了客户端的身份,并用于生成会话密钥,以确保通信的机密性和完整性。
- 服务器验证票据:服务器接收到客户端的票据后,使用共享的密钥解密票据,并验证其中的信息。
- 服务器响应:如果服务器验证票据成功,它将向客户端发送响应,启动双方之间的安全通信。
在Python中,可以使用pykrb5库来进行Kerberos验证。该库提供了一组功能强大的API,可用于与Kerberos服务器进行通信和进行身份验证。以下是使用Kerberos Python验证凭据的基本代码示例:
import krb5
# 创建Kerberos上下文
ctx = krb5.Context()
# 获取服务主体
server_principal = krb5.Principal(ctx, "HTTP/server.example.com")
# 获取客户端凭据
client_creds = ctx.cc.default()
# 验证客户端凭据
ctx.verify_creds(client_creds)
# 获取服务端票据
server_ticket = krb5.Ticket(server_principal)
# 验证服务端票据
server_ticket.validate(client_creds)
# 进行安全通信...上述代码中,首先创建了一个Kerberos上下文对象。然后,使用服务主体和客户端凭据进行身份验证。之后,可以使用服务端票据进行安全通信。
Kerberos在许多领域都有广泛的应用,特别是在企业网络中。它可以用于Web应用程序、数据库访问、远程登录等多种场景中,以确保通信的机密性和安全性。
腾讯云提供了一系列与云安全相关的产品和服务,包括云安全中心、安全加密服务、Web应用防火墙等。您可以访问腾讯云的安全产品页面(https://cloud.tencent.com/product/security)获取更多详细信息和相关产品介绍。
相关·内容
我有一个web应用程序(主机名: service.domain.com),我希望使用Kerberos身份验证来识别登录到Windows域中的用户。Microsoft (Windows 2008 R2)正在提供Kerberos服务。
该服务是使用扩展库实现SPNEGO/Kerberos协议的Java应用程序。我已经在AD中创建了一个keytab文件,其中包含一个共享的秘密,应该足以验证由客户机浏览器使用web应用程序发送的Kerberos票证。
我的问题是,服务主机(service.domain.com)是否需要拥有对KDC (kdc.domain.com)的防火墙访问(TCP/UDP 88),
浏览 0提问于2012-12-01得票数 10
回答已采纳
在使用Active Directory的coporate环境中工作,我无意中听到有人发表评论说Kerberos protcol可以用于加密Windows服务器之间的网络通信。Kerberos能做到这一点吗?
我的理解是Kerberos是一种网络身份验证协议,其功能之一是允许服务器彼此进行身份验证。令牌是加密的,但除非实现SSL连接,否则服务器之间的网络通信不会是加密的。
浏览 0提问于2019-01-03得票数 2
回答已采纳
在过去的几天里,我一直在研究kerberos和ntlm,至今仍有一件事没有解决。
在与kerberos进行交互登录之后,您将在缓存的凭据中包含kerberos票证和ntlm散列。我认为winlogon/lsass负责从普通密码计算NTHash并将其保存到lsass内存中,而不考虑kerberos身份验证。
我的问题是,当智能卡身份验证发生时,如何预先保存NTHash?当然,在这种情况下没有纯文本密码。
谢谢,如果我说错了信息,请评论并纠正我。
浏览 0提问于2021-03-18得票数 1
回答已采纳
我试图弄清楚kerberos身份验证是如何工作的,我发现的信息总是丢失了一些东西,好像其中的一部分是理所当然的。我知道整个过程,但遗漏了一些细节。
获取TGT:
首先,用户应该从KDC获得一个TGT (票证授予票)--用户发送的请求只有它的用户名(UPN),并且没有密码。给出了一些额外的信息,以防止对请求的不满,如ip地址和时间戳。如果需要预验证,则使用用户的密码对时间进行散列。
KDC将用户发回如下: A. TGT --带有时间戳、用户名、ip地址和会话密钥-- TGT是用只有KDC知道的秘密加密的,因此任何人都不能更改。 B.会话密钥供用户和KDC在以后的通信中使用。这些内容是使用用户密码
浏览 0提问于2016-09-28得票数 -1
回答已采纳
2回答
我们的网络设备使用tacplus进行认证和授权。tac本身使用kerberos进行身份验证。对于其中一个项目,我们需要使用脚本自动登录到F5设备。是否有人知道脚本是否可以使用keytab生成kerberos票据,然后使用该票证通过tac/kdc进行身份验证。如果可能的话,你能指出相关的文件/链接吗?谢谢
浏览 0提问于2013-02-05得票数 0
我试图从kafka broker的角度理解kerberos身份验证和票证验证的复杂性。我将总结这些步骤。
Kafka客户端通过KDC服务器进行身份验证。Kafka客户端获得票证。Kafka客户端向代理发布消息。Kafka broker验证客户端
我的问题是,卡夫卡经纪人会验证卡夫卡客户寄来的票吗?经纪人那边到底发生了什么?卡夫卡经纪人是如何意识到,卡夫卡客户已经发送了有效的非过期票?
问候帕万
浏览 2提问于2020-09-03得票数 0
我在Python2.6和Application中使用SLES11。我有一个带有Kerberos的Active服务器,我想在我的应用程序中使用SSO。
我已经在域EXAMPLE.ORG中创建了一个服务主体HTTP/host.example.org,这个用户被映射到一个虚拟用户app.dmy@EXAMPLE.ORG。
Kerberos在Linux客户机上运行良好,我可以插入服务主体。
kinit -s HTTP/host.example.org app.dmy@EXAMPLE.ORG
klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal:
浏览 9提问于2015-09-28得票数 0
根据这篇TechNet文章,https://blogs.technet.microsoft.com/askds/2009/02/15/machine-account-password-process-2/机器帐户(计算机对象)每30天重置一次内部密码。
让我们假设该服务器使用Kerberos SSO运行IIS,因此它具有SPN HTTP/server.domain.com,并且客户端缓存了用于访问该服务器上的资源的Kerberos票证。
如果IIS服务器密码的计算机帐户每30天重置一次--它会使客户端上缓存的Kerberos票证失效并阻止访问直到票证过期或在客户端上使用"klist清除
浏览 0提问于2019-01-15得票数 1
回答已采纳
1回答
在kerberoasting中,用户请求任何已注册SPN服务的服务票,然后使用该票证破解服务密码。但是在kerberoses认证过程中,KRB_TGS_REQ请求被KDC(票据授予服务器)持有的TGS密钥加密。
我希望到目前为止我是对的。
问题-攻击者如何将KRB_TGS_REQ请求发送到KDC(票证授予服务器)。
1-如果没有加密,为什么KDC(票证授予服务器)会因为未加密而返回服务票证
2-如果是的话,它是加密的,那么它是如何加密的,是用哪个密钥加密的。
3-他是否从一开始就执行整个kerberos身份验证过程,如果是,那么为什么他需要提取服务密码,因为当身份验证完成时,他将访问该服务。
浏览 0提问于2022-04-07得票数 0
2回答
Samba认证
、、、、
我知道这看起来像是我没有在这里做研究,因为我已经做过了,我知道有多少相关的问题和教程。我已经阅读了所有的教程,我可以在网上找到这一点。我已经浏览了Samba/Kerberos/AD/身份验证主题的完整列表。
实际上,因为我能够在每一个阶段验证成功,我得到的最远的教程是http://www.howtoforge.com/samba_活动的_目录。唉,它还是没用的。我的问题是:
我有一个KVM客户正在运行CentOS 6.5。我安装了Samba 3.6.9。我想使用Samba来共享用户的主目录,以便他们可以将它们映射为Windows 7机器上的网络驱动器。我已经通过本地帐户使用smbpasswd成
浏览 0提问于2014-04-24得票数 1
我知道Kerberos可以使用PKI。、PKI 提供加密和身份验证。、Kerberos更多地用于身份验证而不是加密.、微软实现 Kerberos KDC是通过“使用Active Directory作为其帐户数据库”来实现的,Active Directory允许您使用使用证书而不是密码。那么,如果您使用X.500目录和PKI,为什么要使用Kerberos?您不能为非Kerberos任务保留X.500 (例如,用memberOf查找组成员)并用PKI替换Kerberos吗?
浏览 0提问于2017-11-19得票数 0
我一直在研究Kerberos,我对哪个组件将票证授予票证(TGT)从KDC发送回客户端感到困惑。
我遇到的一些消息来源说,TGT起源于票证授予服务(TGS),我认为这是非常合乎逻辑的,因为票证(即TGT)是由Ticker授予服务授予的。
但是,其他一些类似的源()
授权服务器在用户数据库中验证用户的访问权限,并创建一个TGT和会话密钥。授权服务器使用从用户密码派生的密钥对结果进行加密,并将消息发送回用户工作站。
这意味着TGT起源于身份验证服务(AS)。
那么,我的问题是: Kerberos TGT从何而来?作为还是TGS?基于上述来源,我更倾向于作为我自己,但希望在这个话题上有更多的投入,
浏览 4提问于2020-01-28得票数 0
回答已采纳
1回答
假设我想向使用Kerberos保护的netwerk上的打印服务器发送一个命令。为此,我对KDC进行身份验证,并获得一个TGT,然后从TGS获得另一个用于打印服务器的票证。然后我对打印服务器进行身份验证,然后向它发送一个print命令,并使用会话密钥签名。但是,假设有人在网络上监听并嗅探我发送的命令,是什么阻止他将其重放到打印服务器,从而能够打印我在同一会话期间刚刚打印的同一个文件(所以是相同的会话密钥)?解决方案是为发送到打印服务器的每个命令从TGS获得一个新的票证(因此也是新的会话密钥),但我认为这在Kerberos协议中并不是必需的。
浏览 0提问于2015-03-02得票数 4
回答已采纳
1回答
在我盲目地跳到“试用错误”测试之前,我想问一些关于ask服务器的Kerberos身份验证的一般性问题。我想评估一下Kerberos有什么可能。当然,主要的好处是单点登录。但它也可能是LDAP身份验证等的适当替代(幸运的是,我们的Active Directory已经包含了一个Kerberos )。非常欢迎您的帮助、提示和讨论!
我想讨论一个比较复杂的设置来发现这些限制: MS -> Linux Squid代理-> (Linux httpd反向代理) -> Linux httpd Webserver。
1)据我所知,the服务器和浏览器都需要与KDC永久连接才能获得和验证身份验证
浏览 0提问于2010-10-06得票数 1
回答已采纳
1回答
关于kerberos,有三件事我不完全理解。
假设我们正在向AD域添加新服务器。KDC为该服务器创建一个共享秘密,该密钥如何安全地发送到服务器?
有一个用户是AD域的成员。用户有他的秘密密钥(密码),他正在更改它-它是如何安全地传递到KDC来更新它的数据库?
因为每个DC可以(或者可能必须)有KDC,那么KDC数据库在每个DC之间复制吗?如果是的话,这是怎么保证的?
浏览 0提问于2019-01-19得票数 1
回答已采纳
全,
我正在尝试将NAS驱动器安装到Linux上。我需要对传输中的数据进行加密,也就是说,当数据从Linux写到NAS dribe时,我希望对其进行加密。
按照上面的链接,krb5p提供数据加密。krb5p: Kerberos认证、数据完整性和数据隐私,在通过网络发送数据之前对其进行加密。数据加密需要额外的
我理解Kerberos相互身份验证是如何工作的,但是一旦将访问权限授予服务(在我的例子中,NAS驱动器),传输到NAS的数据是如何加密的。有人能提供关于“加密”如何与krb5p一起工作的更多细节或文档吗?我找不到更多的细节。
按照:,当使用krb5p: NFS数据包时,将使用Kerber
浏览 1提问于2020-10-16得票数 1
回答已采纳
在Kerberos中,KDC (密钥分发中心)创建一个TGT并将其发送回客户端。客户端不能打开它,也不应该打开它。
如果有人偷听,他们偷了TGT,然后把它寄给KDC买票呢?
浏览 0提问于2019-02-07得票数 1
2回答
我试图使用kerberos来保护hadoop集群的安全。我能够使用kinit命令生成TGT。但除此之外,我被塞了起来。
1)我想知道“serviceTicket”在现实中是什么意思。(不是描述);我们可以使用哪个命令/代码来使用服务票证?
2)“.keyTab”文件和“.keyStore”文件的用途是什么?
Hadoop-Kerberos故事
用户使用kinit命令向KDC发送身份验证请求。
KDC发回一张加密的票证。
用户通过提供密码来解密票证。
4.现在经过身份验证,用户发送一个服务票证的请求.
5. KDC验证票证并发回服务票证.
用户将服务票证呈现给hdfs@K
浏览 5提问于2014-12-02得票数 1
回答已采纳
1回答
密钥表到底是什么?
、、、、
我正在尝试了解Kerberos是如何工作的,因此偶然发现了一个名为Keytab的文件,我相信它用于对KDC服务器进行身份验证。
就像kerberos领域中的每个用户和服务(比如Hadoop)都有一个服务主体一样,是否每个用户和服务都有一个密钥表文件?
另外,使用keytab的身份验证是否适用于对称密钥加密或公钥-私钥?
浏览 3提问于2017-05-09得票数 29
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
