Kerberos网络身份认证协议介绍及SMB文件系统对其的支持

  • 时间:
  • 浏览:1

任何你是什么 协议就有其优缺点。这里简单介绍一下Kerberos网络身份认证协议的优缺点。

认证服务AS (Authentication Service): 认证服务的主要功能是进行管理安全主体的身份和密钥,对客户的身份进行确认,颁发票据授权票据。

本文简单介绍了Kerberos网络认证协议,以及SMB文件系统对Kerberos认证的支持。希望本文有有利于理解阿里云SMB协议文件存储服务的基于AD域系统的Kerberos用户身份认证。

消息A:用户/客户端密钥加密的票据授权会话密钥

消息B:用票据授权密钥加密的票据授权票据(包括客户端ID,有效期,票据授权会话密钥)

消息C:消息B 加在应用服务端ID

消息D:用票据授权会话密钥加密的用户认证卡

消息E:用应用服务密钥加密的服务票据(包括客户端ID,有效期,服务会话密钥)

消息F:用票据授权会话密钥加密的服务会话密钥

消息G:用服务会话密钥加密的用户认证卡

消息H: 用服务会话密钥加密的用户认证卡中的时间戳

Kerberos网络身份认证协议主要定义了一个 交互过程,即认证服务交互,票据授权服务交互,客户服务器交互。下面的流程描述了Kerberos网络身份认证的整个过程。下面大伙首先解释主要的消息以及内容,有如果大伙对每个具体的交互过程具体说明。

下面是使用基于AD域系统的用户身份认证及访问权限控制机会可以的相关知识点:

在《SMB协议小传》中,大伙介绍了SMB协议以及SMB2会话的一个生命阶段,即SMB协议协商,建立SMB会话,连接文件共享,文件系统操作,断开文件共享,终止SMB会话一个阶段。其中用户认证是在建立SMB会话(Session Setup)你是什么 阶段来完成的。在协议协商阶段,文件服务会向客户端返回它支持的认证协议,即NTLM机会Kerberos。有如果,在Session Setup阶段,客户端根据服务端支持的认证协议和它自身支持的协议来确定 你是什么 认证协议完成身份认证。下面流程简单描述了包括和AD域服务器的Kerberos认证交互在内的整个SMB服务请求过程:

票据授权服务 TGS (Ticket Granting Service) :票据授权服务主也不 进行票据授权票据的确认,确认用户的身份并颁发服务票据。

基于上面的一个 主要功能,KDC由认证服务和票据授权服务组成:

机会要使用阿里云SMB协议文件存储服务的基于AD域系统的用户身份认证及访问权限控制功能,请提交工单。

在微软的身份认证体系中,如果使用的就有NTLM(NT Lan Manager)进行认证。在Windows100如果的版本中引入了对Kerberos网络身份认证的支持,并在有active directory domain的具体情况下优先用Kerberos作用户身份认证协议。Kerberos的安全性和繁杂性都比NTLM的有几个协议版本要高的多。微软的实现基于Kerberos v5并有扩展 ([RFC4120],[MS-KILE], [MS-PAC]),其中主要的扩展是采用了Privilege Attribute Certificate Data Structure另一个 你是什么 机制来传输Windows身份认证信息,包括SID,组等windows特有的安全主体信息。

Kerberos是由MIT研发的你是什么 第三方网络身份认证协议,它提供了你是什么 在不安全的网络环境中客户端/服务器模型下的各个实体安全地认证对方身份的协议-即客户和应用服务互相认证对方的身份。Kerberos一般使用共享密钥系统,有如果可以一个 可信的第三方,称为密钥分配中心KDC(Key Distribution Center)。它定义了客户/服务和第三方认证服务即密钥分配中心之间的安全认证交互过程。

最早的Kerberos是MIT为了保护Athena项目的服务而开发的。前一个 版本都也不 在MIT內部使用。从1983年刚结速的第四版本刚结速为內部使用。大伙现在一般使用的是1993年开发的第五版本,即Kerberos 5。

在SMB2协议Session Setup 请求中嵌入了上面提到的Kerberos认证第一个 交互即客户服务交互(Client/Server Exchange)的报文,有如果SMB文件服务从Session Setup请求中分解出你是什么 报文后,得到了用票据授权会话密钥加密的服务会话密钥(消息F)和用服务会话密钥加密的用户认证卡(消息G),用本人的密钥解密服务票据(消息E), 从而拿到服务会话密钥和用户身份信息,有如果用服务会话密钥解密用户认证卡(消息G)拿到用户的身份信息和相关的时间戳,并对一个 消息中的用户身份信息和时间戳进行核对。机会该请求是合法的,服务器从传入的PAC中分解出用户SID,组等信息,并返回认证成功。如果所有从你是什么 会话来的请求就有以你是什么 用户SID和组的身份对文件系统进行操作。机会客户端配置了传输加密,没人如果所有的报文就有用会话密钥进行加密。

在《阿里云SMB协议文件存储服务支持基于AD域的用户身份认证及权限访问控制介绍》中,大伙介绍了文件系统的用户身份认证和访问权限控制的你是什么 基本概念,以及阿里云SMB协议文件存储服务目前支持基于AD域系统的用户身份认证及访问权限控制的实现。在你是什么 支持AD域系统的用户身份认证的实现中,大伙采用的是Kerberos网络身份认证协议。没人,为了更好地理解你是什么 基于域的身份认证过程,大伙在这里介绍一下Kerberos网络身份认证协议,以及SMB文件系统中是咋样支持Kerberos网络身份认证的。