浅析Kerberos原理，及其应用和管理

   文章作者：luxianghao

   文章来源：http://www.cnblogs.com/luxianghao/p/5269739.html  转载请注明，谢谢合作。

   免责声明：文章内容仅代表个人观点，如有不当，欢迎指正。

   --- 

一，引言

　　Kerberos简单来说就是一个用于安全认证第三方协议，它采用了传统的共享密钥的方式，实现了在网络环境不一定保证安全的环境下，client和server之间的通信，适用于client/server模型，由MIT开发和实现。

　　Kerberos的神秘之处在于，它并不要求通信双方所在的网络环境是安全的，即使通信过程中数据被截取或者篡改依然不会影响它的正常工作，它提供的认证是双向的，不仅能保证Server不被错误的Client使用，同时也能保证Client不使用错误的Server。同时Kerberos又严重依赖于时间，时间戳也是Kerberos用来保证通信安全的重要手段，这个一般通过通信双方同时访问同一个时间服务器来实现。Kerberos也能达到单点登录的效果，即当Client通过了Kerberos server的认证后，便可以访问多个Real Server。

 

二，Kerberos原理浅析

　　在实际的应有场景中通常有三个角色，即需要访问服务的Client，提供服务的Application Server，以及提供安全认证的第三方Kerberos服务器KDC（Key Distribution Center）。它们彼此之间的认证、通信的数据流如下图所示。

　　　　　　

　　仔细研究过上图之后，你可能会发现你能看明白的东西实在有限，而想要把Kerberos原理弄明白实在不是一件容易的事，不过可以庆幸的是Kerberos是用传统的共享密钥的方式实现的，这个概念对大家来说并不陌生，同时Kerberos认证还加了时间戳，有效时间，信息对比等伎俩，所以花时间细细读下来你依然能看明白，如果此时你就迫不及待的想研究的话你可以戳这里，这里，或者这里。现在，我们来讨论下Kerberos的认证的一个部分，我认为只要这个部分理解了，其他的都可以递推出来。如下图：

 　　　　　　

Client master key: KDC中存储的Client的密钥

Server master key: KDC中存储的Server的密钥

Sclient-Server：Client与Server之间的会话密钥

Client Info：记录了Client本身的Ip等基本信息

首先 Client询问KDC，我想访问某个Server，然后KDC会将会话密钥Sclient-Server用Client master key加密后传送给Client；与此同时，KDC也会将会话密钥Sclient-Server连同Client的基本信息打包用Server master key加密也发给Client，并经Client转发给Server，至此Client与KDC的交互完成。

然后，Client用自己的master key解密KDC传过来的第一个包，解密后获得会话密钥Sclient-Server，并用这个密钥加密自己的的信息和时间戳打包后传送给Server，此时Client开始和Server交互，如下图：                                    

　　　　　　

Server会收到两个数据包，一个用会话密钥加密，一个用自己的master key加密，Server先用自己的master key解密获取会话密钥和一份关于Client的信息，然后Server拿到解密后获取到的会话密钥再解开另外一个数据包，获得另一份关于Client的信息和时间戳，至此Client和Server的交互完成。

下面我们解释下这样传输数据的原因，为什么传递这些数据

1，上面有个数据包是KDC经Client转发给Server的，为什么不直接发给Server？

因为Server可能给多个Client提供服务，这样Server需要维护一个Client和会话密钥的对应表，这对Server是一个负担。

此外，因为网络传输的不确定性可能Client和Server并不能都及时获取到会话密钥，假如有一方获取失败，那么Client就不能访问Server

2，为什么要发两份关于Client的信息给Server？

通过这两份数据的对比，Server就能判断出是不是对的Client在访问服务。

3，Client是如何判断自己在访问对的Server呢？

因为Client给Server的一个数据包是用Server的master key来加密的所以只有对的Server才能解密。

4，为什么要用会话密钥

通信方的master key是长期有效的，如果在网络上传输，一旦被截取，理论上来说只要有足够的时间是可以破解的，所以我们才用临时的会话密钥来通信，一段时间后会话密钥会过期，同时时间戳也防止了，恶意用户重复使用同一个数据包。

5，为什么要用时间戳？

如果Client向Server传送的数据包被其他的Client截取，然后自己拿来向Server请求服务这，这样就会出问题，那么引入时间戳后，Server收到请求后将从解密后的数据包中获得的时间戳和当前时间对比，一旦超过一定范围将直接拒绝请求；所以，正如前面所说，Kerberos高度依赖时间同步服务。

事实上这个并不是Kerberos认证的整个过程，KDC实际上由AS和TGS两部分组成，你可以将TGS视作一个Server，然后还沿用上面所说的步骤来分析，这样就可以基本上梳理出Client访问Server的一个完整的过程了。

这些东西可能依然难于理解，你可以借助Kerberos经典会话中的场景来理解，请戳这里或者这里。

 

三，Kerberos应用

1，安装Kerberos，搭建Kerberos环境，用yum安装下列包即可

　　krb5-devel.x86_64 
　　krb5-libs.x86_64 
　　krb5-workstation.x86_64

　　krb5-server.x86_64 （仅server端需安装）

如果你想了解详细的安装步骤以及配置，请戳这里

这里我们仅贴出配置krb5.conf&kdc.conf中的主要部分

 /etc/krb5.conf 中包含了realm的信息，里边设置了server的地址，从而让Client能够找到Server，示例如下

[libdefaults]
    default_realm = ATHENA.MIT.EDU

[realms]
    ATHENA.MIT.EDU = {
        kdc = kerberos.mit.edu
        admin_server = kerberos.mit.edu
    }

/var/kerberos/krb5kdc/kdc.conf中主要保存了server端的配置，包括server端口，数据库存放地址，票据有效期等，示例如下：

[kdcdefaults]
    kdc_ports = 88,750

[realms]
    ATHENA.MIT.EDU = {
        kadmind_port = 749
        max_life = 12h 0m 0s
        max_renewable_life = 7d 0h 0m 0s
        database_name = /var/krb5kdc/principal
        acl_file = /var/krb5kdc/kadm5.acl
    }

2， 名词解释

KDC：即Key Distribution Center, 密钥分发中心，负责颁发凭证
Kinit：Kerberos认证命令，可以使用密码或者Keytab。
Realm：Kerberos的一个管理域，同一个域中的所有实体共享同一个数据库
Principal：Kerberos主体，即我们通常所说的Kerberos账号(name@realm) ，可以为某个服务或者某个用户所使用
Keytab：以文件的形式呈现，存储了一个或多个Principal的长期的key，用途和密码类似，用于kerberos认证登录；其存在的意义在于让用户不需要明文的存储密码，和程序交互时不需要人为交互来输入密码。

3，简单使用

在安装好Kerberos和对Kerberos有一个简单的认识之后，你就可以试用一下了，最基本的命令就是kinit，是Client用来从KDC获取票据的，示例如下：

a，使用密码： kinit name@realm 然后根据提示输入密码即可

b，使用keytab： kinit -kt /path/to/keytab name@realm

kinit成功之后你获取的票据就会缓存到本地，可以用klist查看，实例如下：

Ticket cache: FILE:/tmp/krb5cc_0
Default principal: h_test@XIAOMI.HADOOP

Valid starting Expires Service principal
03/13/16 17:08:42 03/14/16 17:08:42 krbtgt/ATHENA.MIT.EDU@ATHENA.MIT.EDU
renew until 03/11/26 17:08:42

从中也可以看到过期时间。

如果你要销毁当前获取的票据，用kdestroy即可。

当然在kinit之前，server端首先要有你的账号，这就需要管理员使用addprinc命令在Kerberos数据库中添加，更多详情请戳这里。

4，Kerbeos在Hadoop上应用

在Hadoop的早期版本（1.0.0）之前是没有安全认证机制的，集群默认自己的节点都是安全的，这样就导致了恶意用户的轻易入侵，修改集群数据，修改任务状态，提交任务等问题。

1.0.0后的版本加入Kerberos认证后，部署集群时需要事先将密钥放在要部署的节点上，这样集群内的节点都是通过认证的节点，只有通过认证的节点才能被正常使用，同样，通过认证的Client才能使用服务。

如果要结合上面所说的原理，那么将上面说的Server换成Hadoop集群中的Namenode，Datanode即可。

 

四，Kerberos账号管理

Kerberos本身的数据库中不能查看密码的，也没有保存账号使用人等信息，所有的信息都需要以命令行的形式获取，管理起来极不方便，因此我们就开发了一套基于Django web框架的Kerberos账号管理系统（Kerberos Account Management System，简称KAS），以此来提高管理员的工作效率，让管理员更有效、更有条理的管理Kerberos账号，KAS的基本组件如下：

权限管理模块：设定了用户，用户组等角色；admin，read等权限类型；并将Kerberos账号视作一种资源类型；这样就有了某个角色，拥有某种资源的某种权限的一种通用架构，所以，这个模块适用于各种资源管理系统。

工具管理模块：里边包含了KAS需要的各种工具，例如KAS和Kerberos server交互的工具，邮件发送工具等。

账号申请模块：为了减少沟通成本，我们设计了用户提交申请，管理员审批的账户申请流程，在审批阶段用户和管理员可以对申请账号做出评论，并可以视情况对申请账号做出重新编辑，撤销申请等操作，一旦有人提交了申请，做出了评论，或者其他操作系统会发邮件通知管理员和用户，以便减少账号申请时间。

账号管理模块：对于通过审批的账号，用户可以查看密码，导出账号keytab，查看账号owner等，对账号有admin权限的账户还可以将账号授权给他人使用，以此来减小管理员的工作量。

API模块：由于有一些特殊人员因为工作的需要，希望查看或者使用owner为其他人的账号，所以我们设计了API模块；当有人需要使用API接口时，需要向管理员申请将自己设为超级用户，同时超级用户需要维护一个自己的机器列表，只有在此机器列表包含的Host上才能使用API接口，此外超级用户还需要到系统中查看自己的auth_token，用于在使用API接口时做校验。

Replicate模块：Web端的增删改查等操作只是修改了MySQL数据库，此时我们需要Replicate模块将MySQL中的修改实时同步到Kerberos自己的数据库中。

机房间同步模块：当多个机房都需要使用Kerberos认证的时候，我们就需要机房间同步模块将主Server上的修改同步到其他机房中来保证数据的一致性。

备份模块：用于备份MySQL中和Kerberos Server中的数据以防数据丢失或者其他意外发生。

KAS的整体架构图如下：

 

服务的安全以及高可用：

对于Web Server我们采用了Keepalived vip漂移的方式来保证服务的高可用性，同一时刻只有一台Server工作，写MySQL数据库。

主Server上的Replicate模块会将MySQL中的修改实时同步到Kerberos Server中，又通过Rsync加密、增量传输的方式把主Server中的Kerberos数据库的更改同步到其他的Kerberos Server的数据库中（包括同机房的和不同机房的）。

通常一个机房中的Kerberos Server有两个，我们采用LVS或者Keepalived的方式保证服务的高可用。

Web Server，Replicate模块等的进程我们用God的守护，以确保服务在异常停止后能自动拉起。

此外，由于Kerbeos是比较基础的服务，又比较敏感，所以我们还做了端口监控，机器级别的安全加固等。

下面简单列一下KAS开发前后状态的对比，如下：

到目前为止系统已经上线近一年，期间运行状态良好，没有出现过异常宕掉的情况，很好的提升了工作效率，节约了管理员的时间。

 

五，后记

至此，我们讲述了一套完整的Kerberos服务使用及管理的方案，由于本人水平有限，其中难免出现一些错误，还请谅解，欢迎批评指正。