一、背景说明
最早听说KDC和Kerberos应该是大三的《应用密码学》,当时感觉这套对称密钥分发机制比非对称密钥的PKI分发机制要好理解。但几年下来由于现实中使用SSL的场景比较比(主要是https)接触得也就比较多所以对PKI的认识反倒超过了KDC。
Kerberos的接触印象中只有某运营商大数据平台一主机要ssh到其他主机时需要先kinit申请票据一把,具体原理不是很清楚,也没有深入探究。这几天一是比较有空二是感觉以后用得上所以来探究一番,本文可以认为是本链接文档的一次实现。
另外,首先要明确Kerberos是KDC思想的一个具体实现,正如当下的数字签名证书是PKI思想的一个具体实现一样;只是他们都实现得都比较好,以至于与各自的思想基本成为同义词。
二、Kerberos+SSH安装配置
2.1 安装配置Kerberos
2.1.1 前置操作
将当前用户设置成sudo免密码。编缉/etc/sudoers文件追加以下内容(ls是我当前用户,操作时请改成自己的):
ls ALL=(ALL) NOPASSWD: ALL
将后续要使用的域名/主机名指向本地。编缉/etc/hosts写入以下内容(192.168.220.143是我电脑当前的IP,改成自己的;最后的ls-virtual-machine是我电脑当前的主机名,改成自己的;另外如果/etc/hosts存在有将主机名解析到127.0.0.1的条目,则应将其删除)
127.0.0.1 localhost
192.168.220.143 monarch.example.com monarch krb1.example.com krb1 ls-virtual-machine
2.1.2 安装Kerberos服务
sudo apt install krb5-admin-server krb5-kdc -y
安装krb5-admin-server时要确认几个问题(不同操作系统用Kerberos形式可能有些许差别,但意思都差不多),如下输入直接回车即可。
指定默认领域,使用EXAMPLE.COM:
Default Kerberos version 5 realm? EXAMPLE.COM
默认领域使用的Kerberos服务器,使用krb1.example.com(前边2.1我们已将krb1.example.com也指向本地)
Kerberos servers for your realm: krb1.example.com
默认领域使用的管理服务器,一样使用krb1.example.com:
Administrative server for your Kerberos realm: krb1.example.com
2.1.3 初始化配置
使用以下命令初始化前边配置的EXAMPLE.COM领域对应的数据库,并设置该领域的密码:
sudo krb5_newrealm
编缉/etc/krb5.conf,定位到[domain_realm]节区,追回以下内容:
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
继续编缉/etc/krb5.conf,在文件末尾追加以下内容,设置其日志文件目录:
[logging]
kdc = FILE:/var/log/kerberos/krb5kdc.log
admin_server = FILE:/var/log/kerberos/kadmin.log
default = FILE:/var/log/kerberos/krb5lib.log
由于/var/log/kerberos目录是不存在的,所以我们还要把这日志目录和文件创建出来:
sudo mkdir /var/log/kerberos
sudo touch /var/log/kerberos/{krb5kdc,kadmin,krb5lib}.log
sudo chmod -R 750 /var/log/kerberos
最后为使以上配置生效,我们需要重启服务:
sudo invoke-rc.d krb5-admin-server restart
sudo invoke-rc.d krb5-kdc restart
2.1.4 创建策略集
策略集就是规则的集合,我们这里创建admin/host/service/user四个策略集(minlength是策略集的密码长度,minclasses是密码的元素种类),过程如下:
ls@ls-virtual-machine:~$ sudo kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local: add_policy -minlength -minclasses admin
kadmin.local: add_policy -minlength -minclasses host
kadmin.local: add_policy -minlength -minclasses service
kadmin.local: add_policy -minlength -minclasses user
kadmin.local:
kadmin.local: quit
2.1.5 在规则集下创建具体账号
其中的user表示隶属user策略集,ls是用户名(ls是我当前用户名,改成自己的);设置的密码一定要记住,因为该账号要获取票据时要使用该密码:
ls@ls-virtual-machine:~$ sudo kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local: addprinc -policy user ls
Enter password for principal "ls@EXAMPLE.COM":
Re-enter password for principal "ls@EXAMPLE.COM":
Principal "ls@EXAMPLE.COM" created.
kadmin.local:
kadmin.local: quit
2.2 ssh集成Kerberos
经过以上步骤,我们已经安装好了Kerberos,现在来演示如何使用kerberos完成ssh认证和登录。
2.2.1 安装ssh
sudo apt install openssh-server openssh-client
2.2.2 配置ssh支持Kerberos认证
编缉/etc/ssh/sshd_config,启用以下项(其中最后的“UsePAM yes”一般已启用):
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
GSSAPIKeyExchange yes
UsePAM yes
重启ssh使配置生效:
sudo invoke-rc.d ssh restart
2.2.3 创建ssh登录相关规则
service仍然是我们前面添加的service策略集;host是telnet/rsh/ssh等服务在kerberos中的统称,monarch.example.com是规则适用的主机名:
ls@ls-virtual-machine:~$ sudo kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local: addprinc -policy service -randkey host/monarch.example.com
Principal "host/monarch.example.com@EXAMPLE.COM" created.
kadmin.local: ktadd -k /etc/krb5.keytab -norandkey host/monarch.example.com
Entry for principal host/monarch.example.com with kvno , encryption type aes256-cts-hmac-sha1- added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal host/monarch.example.com with kvno , encryption type arcfour-hmac added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal host/monarch.example.com with kvno , encryption type des3-cbc-sha1 added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal host/monarch.example.com with kvno , encryption type des-cbc-crc added to keytab WRFILE:/etc/krb5.keytab.
kadmin.local:
kadmin.local: quit
2.2.4 获取用户票据
ls是我当前的用户名,改成自己的;获取票据的密码是2.5中创建规则时设的密码(klist -f用于查看当前存在的票据):
ls@ls-virtual-machine:~$ kinit ls
Password for ls@EXAMPLE.COM:
ls@ls-virtual-machine:~$
ls@ls-virtual-machine:~$ klist -f
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: ls@EXAMPLE.COM Valid starting Expires Service principal
--06T15:: --07T01:: krbtgt/EXAMPLE.COM@EXAMPLE.COM
renew until --07T15::, Flags: FPRIA
2.2.5 登录测试
使用使用获取票据的用户(ls)及可通过票据登录的主机(monarch.example.com),如下不需要密码即可直接登录:
三、原理分析
因为有不少概念自己也不太确定,理解可能有偏差甚至错误,所以在阅读时需要自行斟酌。
3.1 KDC原理
角色:密钥分发中心KDC、用户A、用户B。KDC保存有与用户A、用户B通信的对称密钥,用户A、用户B保存有与KDC通信的对称密钥。
期望操作:用户A想和用户B进行通信。
实现过程:用户A向KDC,使用Ka-kdc加密,发送想与用户B通信的请求。
KDC接收到请求后,使用Ka-kdc解密,生成Ka-b,并将其使用Ka-kdc加密发送给A、使用Kb-kdc加密发送给B。
A和B接收到后,分别使用Ka-kdc和Kb-kdc解密出Ka-b。
A使用Ka-b向B发送加密消息。
说明:可以看到,在此模式中KDC需要存储与所有用户通信的Key,而所有用户只需要存储与KDC通信的Key,用户与用户之间的Key是动态生成和分发的。
3.2 Kerberos过程
角色:认证服务器AS、票据认可服务器TGS、服务器端DS、客户端A;前两者相当于KDC,前三者是Kerberos所指的三个服务器。前三者存放有相互通信所用的对称密钥,客户端A不存放任何对称密钥。
期望操作:客户端A想和服务器端DS进行通信。
实现过程:客户端A向AS,以明文形式,索取访问TGS的票据。
AS收到请求后,验证A发来的用户名密码,如果正确则生成Ka-tgs,并将其使用借助密码生成的Ka-as加密发送给A、使用Kas-tgs加密发送给TGS。
A收到后根据也根据密码生成Ka-as解密,TGS也使用Kas-tgs解密。
A使用得到的Ka-tgs,加密,向TGS请求与B进行通信。
TGS接收到请求后,使用Ka-tgs解密,根据其意向,生成Ka-b,并将其分别使用Ka-tgs加密发送给A、使用Kb-tgs加密发送给B。
A和B接收到后,分别使用Ka-tgs和Kb-tgs解密出Ka-b。
A使用Ka-b向B发送加密消息。
说明:Kerberos将KDC拆分为AS和TGS两个服务,这样的好处是,Ka-tgs是有有效期的不再像前边Ka-kdc一样长期有效,当Ka-tgs过期之后用户可以通过输入密码获取新的Ka-tgs。
3.3 SSH中的Kerberos过程
角色对应:Kerberos启了哪些进程/服务还没有分析哪个是AS哪个是TGS就先不懂,SSH服务端相当于DS,SSH客户端相当于客户端A。
操作对应:2.1.5的创建账号,就是在AS数据库中导入账号信息。
2.2.4中kinit ls,就是向AS申请访问TGS的票据。
2.2.5中登录时,SSH客户端才向TGS请求访问SSH服务端。
3.4 KDC与PKI的优劣分析
从最终效果上看,KDC和PKI都完成了对称密钥的分发,即效果是一样的。
从前置条件上看,首先KDC在仍意环境中都需要一个专门的服务(器),其次其要存储的用户数据(用户名、密码或对称密钥)会随用户的增长而增长,最后由于用户和KDC之间使用的是对称密钥所以非否性可能会有问题。
总的而言,感觉KDC适用于内部网络服务之间的通信,PKI适用于外部网络客户端与服务器之间的通信。
参考:
http://techpubs.spinlocksolutions.com/dklar/kerberos.html#krb-install