Kerberos认证原理及基于Kerberos认证的NFS文件共享

目录

Kerberos认证原理

简介

kerberos是用于身份认证并且能够提供双向认证的协议,使用kerberos,客户端只需要使用一个密码就可以对Kerberos域内所有的服务器进行访问,每个服务器也不需要单独实现自己的认证系统,而是使用他们共信任的Kerberos Distribution Center(KDC)来进行认证服务,因此Kerberos系统中至少包含KDC、Client、Server这三个角色

client访问server过程

早期的Kerberos基于3个sub-protocol,通过每个sub-protocol执行的方法来梳理Client访问Server需要的认证流程

  • Long-term Key:长期保持不变的key,比如自己使用的密码,被称为Long-term Key。
  • Master Key:将Long-term Key通过哈希运算得到一个hash code,即Master Key。
  • Session Key:在一个session中有效的key

一、Authentication Service Exchange (AS Exchange)

先了解下相关术语:

  1. Authentication Service Request(KRB_AS_REQ):Client向KDC发送的请求,Client使用自己的Master Key对KRB_AS_REQ加密并发送到KDC的Authentication Service(AS),KRB_AS_REQ包含用于证明自己身份的信息(Pre-authentication data)、Client info、TGS name
  2. Authentication Service(AS):KDC的一个服务,可以简单理解为验证Client是否是真的Client,如果是返回KRB_AS_REP
  3. Authentication Service Response(KRB_AS_REP):KDC应答Client的KRB_AS_REQ,KRB_AS_REP包括使用Client的Master Key加密过的Session Key(SKDC-Client)和KDC自己的Master Key加密的TGT
  4. Ticket Granting Ticket(TGT):TGT像是一张凭证,有了这张凭证Client就可以向KDC申请访问Realm中所有Server,拿到访问Server的票之后,就可以跟Server建立通信,TGT包含SKDC-Client、Client info、TGT的到期时间

执行流程如下:

  1. Client向KDC发送KRB_AS_REQ
  2. AS收到KRB_AS_REQ从Database中取出Client的Master Key解密认证
  3. 认证通过后发送KRB_AS_REP到Client
  4. Client收到KRB_AS_REP,包含Client加密的Session Key(SKDC-Client),TGT,使用自己的Master Key解密即可得到SKDC-Client

流程图如下:

二、Ticket Granting Service Exchange (TGS Exchange)

相关术语:

  1. TGS(Ticket Granting Service):KDC的一个服务,简单理解为验证TGT与Client的真实性,验证通过后像Client返回KRB_TGS_REP
  2. Ticket Granting Service Request(KRB_TGS_REQ):客户端向KDC发出访问Server的请求,KRB_TGS_REQ中包含了TGT、证明TGT的拥有者就是Client自己的信息(Authenticator)、Client info、Server info
  3. Authenticator:在Kerberos中,Authenticator是关于Client的一些信息和当前的一个timestamp
  4. Ticket Granting Service Response(KRB_TGS_REP):TGS验证通过后向Client发送的应答,KRB_TGS_REP中包括:
    • Client与Server的Session Key(SServer-Client),并将SServer-Client使用SKDC-Client加密
    • 使用Server的Master Key进行加密的Ticket(用来访问Server的票),该Ticket中包含SServer-Client、Client info、Ticket的到期信息

执行流程如下:

  1. 在AS Exchange中我们知道,Client此时拥有SKDC-Client(client与KDC的session key)与TGT,Client生成自己的Authenticator并使用SKDC-Client进行加密,与TGT一同发送到KDC,即KRB_TGS_REQ
  2. KDC接到KRB_TGC_REQ之后,使用KDC自己的Master Key对TGT进行解密(在AS Exchange提到KRB_AS_REP中的TGT是KDC的Master Key加密的)得到Client Info与SKDC-Client,然后使用这个SKDC-Client解密Authenticator获得Client info,校验两个Client info,验证通过则生成Client要访问的server的Ticket给Client(此时Client拿到了访问Server的票),即向Client发送KRB_TGS_REP
  3. Client收到KRB_TGS_REP后使用SKDC-Client解密得到Client与Server的session key(SServer-Client),此时Client就可以带着SServer-Client与被Server的Master Key加密的Ticket与Server通信了,无需再有KDC的介入

流程图如下:

三、Client/Server Exchange (C/S Exchange)

相关术语:

  1. Application Service Request(KRB_AP_REQ):客户端向服务器发出请求,KRB_AP_REQ包括证明TGS的拥有者就是Client自己的信息(Authenticator)、Ticket、用于表示Client是否需要双向认证的Flag
  2. Mutual Authentication(双向认证):Server可以对Client进行认证,Client同样可以对Server进行认证,如果KRB_AP_REQ中包含需要对Server认证的Flag,Server则会提取Authenticator中的timestamp并使用SServer-Client加密后发回给Client,Client解密后对比timestamp相同则认证成功

执行流程:

  1. 在TGS Exchange中我们知道,Client此时拥有SServer-Client和使用Server的Master Key进行加密的Ticket,创建Authenticator并使用SServer-Client加密
  2. 向Server发送Ticket与Authenticator,即KRB_AP_REQ,如果需要进行双向认证则添加Flag
  3. Server使用自己的Master Key解密Ticket,得到SServer-Client,通过SServer-Client解密Authenticator验证Client,验证成功则建立通信,允许该Client访问资源。如果KRB_AP_REQ中包含双向认证Flag,Server还需再向Client证明自己的身份

流程图如下:

传统的Kerberos认证流程梳理完毕,目前使用较广的增加了User2User这个sub-protocol,可以简单理解为Server也需要获得TGT,并且使用带有过期时间的Short-term Key进行加密,因为传统的Kerberos使用Server的Master Key加密传输数据,这样的做法存在安全隐患

接下来配置Client访问NFS Server,并通过Kerberos进行认证

配置基于Kerberos认证的NFS文件共享

Centos配置可参考:https://blog.csdn.net/weixin_42442164/article/details/82110859

ubuntu下配置与Centos配置略有不同,而且网络上几乎没有完整的教程,所以此次我们使用Ubuntu来踩坑

环境

系统: ubuntu-16.04-server-amd64.iso,主机名与地址配置

  1. hostname:gclient.ggg.com

    ipaddress:172.17.73.111

  2. hostname:gserver.ggg.com

    ipaddress:172.17.73.112

  3. hostname:gkerberos.ggg.com

    ipaddress:172.17.73.113

相关术语

  1. Realm:可以理解为Kerberos中的域,只有在Realm中的主机才可以使用该认证,约定使用大写,如GGG.COM
  2. principal:任何需要Kerberos认证的主机都需要principal,例如nfs/gserver.ggg.com
  3. krb5.keytab:从KDC database中提取的含有Client或Server的Master Key的文件

Kerberos相关配置

一、配置hostname

Kerberos需要认证必须依赖于全称域名(FQDN),我们设置域名为ggg.com,那么FQDN为hostname.ggg.com,每个主机需要一个独一无二的认证主体,因此设置不同的hostname,我们不引入DNS服务器,直接将hostname文件配置为FQDN格式,以客户端gclient为例进行配置,Server与KDC配置方法相同

  1. 配置hostname为gclient

    echo gclient.ggg.com > /etc/hostname
hostname -F /etc/hostname
hostname -f # 输出hostname

  2. 配置hosts文件,使得客户端可以识别Server与KDC的FQDN,Server与KDC同Client配置相同

    root@gclient:~# cat /etc/hosts
127.0.0.1       localhost
127.0.1.1       gclient
172.17.73.111 gclient.ggg.com gclient
172.17.73.112 gserver.ggg.com gserver
172.17.73.113 gkerberos.ggg.com gkerberos

  3. ping FQDN测试三台主机互通

二、配置KDC

实验环境可以先把防火墙关掉ufw disable,否则需要让防火墙允许Kerberos服务通过

  1. 安装相关组件 apt-get install krb5-kdc krb5-admin-server,安装完成后会弹出Kerberos的配置界面,该配置界面也可以使用命令dpkg-reconfigure krb5-kdc来打开

    填写Realm,Kerberos的Realm为大写,我们使用GGG.COM

    设置Kerberos server,为我们的Kerberos主机名

    设置Administrative server,因为我们只有一台KDC服务器,所以设置为这台Kerberos的主机名

  2. 创建Kerberos数据库,里面维护着认证系统中所有主机的密码,krb5_newrealm按照提示设置密码即可

  3. 为Kerberos添加一个管理员帐号,以管理认证系统中的principal

    root@gkerberos:~# kadmin.local
Authenticating as principal root/admin@GGG.COM with password.
kadmin.local:  addprinc nfs/admin@GGG.COM
WARNING: no policy specified for nfs/admin@GGG.COM; defaulting to no policy
Enter password for principal "nfs/admin@GGG.COM":
Re-enter password for principal "nfs/admin@GGG.COM":
Principal "nfs/admin@GGG.COM" created.

    接下来对nfs/admin@GGG.COM打开权限,到目录/etc/krb5kdc/kadm5.acl设置

    root@gkerberos:~# cat /etc/krb5kdc/kadm5.acl
# This file Is the access control list for krb5 administration.
# When this file is edited run /etc/init.d/krb5-admin-server restart to activate
# One common way to set up Kerberos administration is to allow any principal
# ending in /admin  is given full administrative rights.
# To enable this, uncomment the following line:
 */admin@GGG.COM *

  4. 为Server与Client创建他们的principals

    root@gkerberos:~# kadmin.local
Authenticating as principal root/admin@GGG.COM with password.
kadmin.local:  addprinc nfs/gclient.ggg.com@GGG.COM
WARNING: no policy specified for nfs/gclient.ggg.com@GGG.COM; defaulting to no policy
Enter password for principal "nfs/gclient.ggg.com@GGG.COM":
Re-enter password for principal "nfs/gclient.ggg.com@GGG.COM":
Principal "nfs/gclient.ggg.com@GGG.COM" created.
kadmin.local:
kadmin.local:
kadmin.local:  addprinc nfs/gserver.ggg.com@GGG.COM
WARNING: no policy specified for nfs/gserver.ggg.com@GGG.COM; defaulting to no policy
Enter password for principal "nfs/gserver.ggg.com@GGG.COM":
Re-enter password for principal "nfs/gserver.ggg.com@GGG.COM":
Principal "nfs/gserver.ggg.com@GGG.COM" created.
kadmin.local:  q

  5. 添加日志

    /etc/krb5.conf添加

    [logging]
    default = FILE:/var/log/krb5.log

    后期发现不打日志,花了好多时间查到是一个BUG,修复方法是到/lib/systemd/system/krb5-kdc.service ,将ReadWriteDirectories这一行选项最后追加一个/var/log,即ReadWriteDirectories=-/var/tmp /tmp /var/lib/krb5kdc -/var/run /run /var/log,修改完成后使用systemctl daemon-reload命令重新加载

  6. 重启服务 systemctl restart krb5-admin-server.service krb5-kdc.service

三、配置Server

  1. 安装相关组件apt-get install krb5-user,在配置界面填写的内容与Kerberos主机填写内容相同,即Server、Client与Kerberos的krb5.conf是相同的

  2. 通过我们创建的管理员帐号登录后获取Server的krb5.keytab,如下

    root@gserver:~# kadmin -p nfs/admin@GGG.COM
Authenticating as principal nfs/admin@GGG.COM with password.
Password for nfs/admin@GGG.COM:
kadmin:  ktadd -k /etc/krb5.keytab nfs/gserver.ggg.com@GGG.COM
Entry for principal nfs/gserver.ggg.com@GGG.COM with kvno 2, encryption type aes256-cts-hmac-sha1-96 added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal nfs/gserver.ggg.com@GGG.COM with kvno 2, encryption type arcfour-hmac added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal nfs/gserver.ggg.com@GGG.COM with kvno 2, encryption type des3-cbc-sha1 added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal nfs/gserver.ggg.com@GGG.COM with kvno 2, encryption type des-cbc-crc added to keytab WRFILE:/etc/krb5.keytab.
kadmin:  q

  3. 使用kinit申请TGT验证认证配置是否成功,kinit执行完成后使用klist查看凭证已拿到

    root@gserver:~# kinit -kt /etc/krb5.keytab nfs/gserver.ggg.com@GGG.COM
root@gserver:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: nfs/gserver.ggg.com@GGG.COM

Valid starting       Expires              Service principal
08/12/2020 15:23:10  08/13/2020 01:23:10  krbtgt/GGG.COM@GGG.COM
        renew until 08/13/2020 15:23:00

如果这里有问题请检查hostname、hosts、krb5.conf、各个principal是否正确,krb5.keytab是否存在,还有最容易忽略的时间是否统一可以手动校准也可以使用NTP、Chrony等时间同步服务来做

四、配置Client

Client与Server的配置方法相同

  1. apt-get install krb5-user,在配置界面填写的内容与Kerberos主机填写内容相同

  2. 通过我们创建的管理员帐号登录后获取Client的krb5.keytab如下

    root@gclient:~# kadmin -p nfs/admin@GGG.COM
Authenticating as principal nfs/admin@GGG.COM with password.
Password for nfs/admin@GGG.COM:
kadmin:  ktadd -k /etc/krb5.keytab nfs/gclient.ggg.com@GGG.COM
Entry for principal nfs/gclient.ggg.com@GGG.COM with kvno 2, encryption type aes256-cts-hmac-sha1-96 added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal nfs/gclient.ggg.com@GGG.COM with kvno 2, encryption type arcfour-hmac added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal nfs/gclient.ggg.com@GGG.COM with kvno 2, encryption type des3-cbc-sha1 added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal nfs/gclient.ggg.com@GGG.COM with kvno 2, encryption type des-cbc-crc added to keytab WRFILE:/etc/krb5.keytab.
kadmin:  q

  3. 使用kinit进行认证

    root@gclient:~# kinit -kt /etc/krb5.keytab nfs/gclient.ggg.com
klist: Bad format in credentials cache
root@gclient:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: nfs/gclient.ggg.com@GGG.COM

Valid starting       Expires              Service principal
08/12/2020 15:38:11  08/13/2020 01:38:11  krbtgt/GGG.COM@GGG.COM
        renew until 08/13/2020 15:38:11

至此Kerberos认证系统已经配置完成,接下来引入我们的具体应用NFS文件系统,同时使用kerberos进行验证

引入NFS

一、配置NFS Server

  1. 安装nfs server,apt-get install nfs-kernel-server

  2. 创建NFS挂载点mkdir /nfskrb5,并使用krb5安全认证,在/etc/exports中添加/nfskrb5 *(rw,sync,no_subtree_check,no_root_squash,sec=krb5)这一行

  3. 将创建的目录放出

     root@gserver:~# exportfs -r
 root@gserver:~# exportfs -v
/nfskrb5        <world>(rw,wdelay,no_root_squash,no_subtree_check,sec=krb5,rw,no_root_squash,no_all_squash)

二、配置客户端

  1. 客户端安装相关组件apt-get install nfs-common

  2. 装完所有服务之后介意重启Client、Server、Kerberos这三台主机

  3. 使用Client进行挂载,使用mount -vvv 可以查看到挂载过程

    root@gclient:~# showmount -e gserver
Export list for gserver:
/nfskrb5 *
root@gclient:~# mkdir /mnt/krb5
root@gclient:~# mount -vvv gserver:/nfskrb5 /mnt/krb5/
mount.nfs: timeout set for Wed Aug 12 17:52:26 2020
mount.nfs: trying text-based options 'vers=4,addr=172.17.73.112,clientaddr=172.17.73.111'

    使用df -h查看发现挂载成功

    root@gclient:/mnt# df -h
Filesystem                    Size  Used Avail Use% Mounted on
udev                          2.0G     0  2.0G   0% /dev
tmpfs                         396M  5.7M  390M   2% /run
/dev/mapper/gclient--vg-root   45G  1.8G   41G   5% /
tmpfs                         2.0G     0  2.0G   0% /dev/shm
tmpfs                         5.0M     0  5.0M   0% /run/lock
tmpfs                         2.0G     0  2.0G   0% /sys/fs/cgroup
/dev/sda1                     472M  110M  338M  25% /boot
tmpfs                         100K     0  100K   0% /run/lxcfs/controllers
tmpfs                         396M     0  396M   0% /run/user/0
gserver:/nfskrb5               35G  1.9G   32G   6% /mnt/krb5

至此基于Kerberos身份认证的NFS服务已搭建完成

总结

Kerberos认证比较复杂比较绕,所以介意先了解认证过程,然后理解下Realm、principal等配置相关的术语,再开始配置。

配置时需要注意一下几点:

  • FQDN的设置是否正确,Kerberos是基于域名来做认证的
  • Kerberos对时间差很敏感,Kerberos服务器、Client、Server之间要保持时间一样,如果长时间使用介意配置时间同步的相关服务
  • 在添加principal的时候格式是否有误,可在kadmin状态下通过list_principals命令查看
  • 生成krb5.keytab的时候不要将Client与Server的搞混
  • 配置完成后记得重启相关的服务,在最后如果挂载报错可尝试重启主机

参考文档
https://help.ubuntu.com/community/NFSv4Howto
https://help.ubuntu.com/community/Kerberos
https://blog.csdn.net/wulantian/article/details/42418231
《ubuntu-server-guide》,通过百度网盘分享该文档:
链接:https://pan.baidu.com/s/1vByL6xSP010wtB5vKRA-8Q
提取码:tf9v

posted @ 2020-08-12 22:09  佟晖  阅读(3655)  评论(2编辑  收藏  举报