Co to jest Kerberos Linux

Albert Szcześniak
Co to jest Kerberos Linux
„Kerberos Linux to protokół uwierzytelnienia dla poszczególnych użytkowników Linux w dowolnym środowisku sieciowym. Pomaga zapewnić bezpieczne pojedyncze logowanie do logowania sieciowego w sieciach niezależnych, uwierzytelniając żądania serwisowe między zaufanymi i niezaufanymi sieciami. A dobrym przykładem sieci nieefektywnej jest Internet.

Ten protokół umożliwia korzystanie z dowolnego programu obsługującego Kerberos w systemie systemu Linux bez nakładania haseł za każdym razem. Kerberos jest również kompatybilny z innymi głównymi systemami operacyjnymi, takimi jak Apple Mac OS, Microsoft Windows i FreeBSD.

Głównym celem Kerberos Linux jest zapewnienie użytkownikom środków do niezawodnego i bezpiecznego uwierzytelniania się w programach, których używają w systemie operacyjnym. Oczywiście osoby odpowiedzialne za upoważnienie użytkowników do dostępu do tych systemów lub programów na platformie. Kerberos może łatwo współpracować z Secure Rachunkowymi systemami, zapewniając, że protokół skutecznie uzupełnia triadę AAA poprzez uwierzytelnianie, autoryzację i systemy rachunkowości."

Ten artykuł koncentruje się tylko na Kerberos Linux. Oprócz krótkiego wprowadzenia poznasz również następujące informacje;

  • Składniki protokołu Kerberos
  • Koncepcje protokołu Kerberos
  • Zmienne środowiskowe, które wpływają na działanie i wydajność programów obsługujących Kerberos
  • Lista wspólnych poleceń Kerberos

Składniki protokołu Kerberos

Podczas gdy najnowsza wersja została opracowana dla Project Athena w MIT (Massachusetts Institute of Technology), rozwój tego intuicyjnego protokołu rozpoczął się w latach 80. i został opublikowany w 1983 roku. Pochodzi swoją nazwę Cerberosa, mitologii greckiej i zawiera 3 elementy, w tym;

  1. Podstawowa lub główna jest dowolnym unikalnym identyfikatorem, do którego protokół może przypisać bilety. Dyrektorem może być usługa aplikacji lub klient/użytkownik. Zatem skończysz z głównym serwisem usług aplikacji lub identyfikatorem użytkownika dla użytkowników. Nazwy użytkowników dla użytkowników, podczas gdy nazwa usługi jest podstawową dla usługi.
  2. Zasób sieciowy Kerberos; to system lub aplikacja, która umożliwia dostęp do zasobu sieciowego wymagającego uwierzytelnienia za pośrednictwem protokołu Kerberos. Serwery te mogą obejmować zdalne obliczenia, emulację terminali, e -mail oraz usługi plików i drukowania.
  3. Kluczowe centrum dystrybucji lub KDC jest zaufana usługa uwierzytelniania protokołu, baza danych i usługa dania biletów lub TGS. Zatem KDC ma 3 główne funkcje. Szczyci się wzajemnym uwierzytelnianiem i pozwala węzłom odpowiednio udowodnić swoją tożsamość. Niezawodny proces uwierzytelniania Kerberosa wykorzystuje konwencjonalną wspólną tajną kryptografię, aby zagwarantować bezpieczeństwo pakietów informacji. Ta funkcja sprawia, że ​​informacje są nieczytelne lub niezmienne w różnych sieciach.

Podstawowe koncepcje protokołu Kerberosa

Kerberos zapewnia platformę dla serwerów i klientów do opracowania zaszyfrowanego obwodu, aby zapewnić, że cała komunikacja w sieci pozostała prywatna. Aby osiągnąć swoje cele, programiści Kerberos określili pewne pojęcia, aby kierować jego użyciem i strukturą, i obejmują one;

  • Nigdy nie powinno to pozwolić na transmisję haseł przez sieć, jak atakujący mogą uzyskać dostęp, podsługa i przechwycić identyfikatory użytkowników i hasła.
  • Brak przechowywania haseł w PlainText w systemach klienckich lub uwierzytelniania serwerów
  • Użytkownicy powinni wprowadzać hasła tylko po każdej sesji (SSO) i mogą zaakceptować wszystkie programy i systemy, do których są upoważnione do dostępu.
  • Centralny serwer przechowuje i utrzymuje wszystkie poświadczenia uwierzytelniania każdego użytkownika. To sprawia, że ​​ochrona poświadczeń użytkownika jest prosta. Chociaż serwery aplikacji nie będą przechowywać poświadczeń uwierzytelniania użytkownika, umożliwia szereg aplikacji. Administrator może odwołać dostęp dowolnego użytkownika do dowolnego serwera aplikacji bez dostępu do serwerów. Użytkownik może zmienić lub zmienić hasła tylko raz i nadal będzie mógł uzyskać dostęp do wszystkich usług lub programów, w których mają uprawnienia do dostępu.
  • Serwery Kerberos pracują w Limited Królestwo. Systemy nazw domen identyfikują dziedziny, a domena główna jest miejscem, w którym działa serwer Kerberos.
  • Zarówno użytkownicy, jak i serwery aplikacji muszą się uwierzytelniać, gdy tylko wyświetlą błąd.Podczas gdy użytkownicy powinni uwierzytelnić się podczas logowania, usługi aplikacji mogą wymagać uwierzytelnienia dla klienta.

Zmienne środowiskowe Kerberos

W szczególności Kerberos działa na niektórych zmiennych środowiskowych, przy czym zmienne bezpośrednio wpływają. Ważne zmienne środowiskowe obejmują KRB5_KTName, KRB5CCName, KRB5_KDC_PROFILE, KRB5_TRACE, KRB5RCACHETYPE i KRB5_CONFIG.

Zmienna KRB5_CONFIG podaje lokalizację plików karty klucza. Zwykle plik zakładki klucza przyjmuje formę Typ: resztkowy. I gdzie nie istnieje żaden typ, pozostały staje się ścieżką pliku. KRB5CCName definiuje lokalizację pamięci podręcznej i istnieje w formie Typ: resztkowy.

Zmienna KRB5_Config określa lokalizację pliku konfiguracyjnego, a KRB5_KDC_PROFIL. W przeciwieństwie do tego, zmienna KRB5RCACHETYPE określa domyślne typy pamięci podręcznych dostępnych dla serwerów. Wreszcie zmienna KRB5_TRACE zapewnia nazwę pliku, na której można zapisać wyjście śladowe.

Użytkownik lub dyrektor będzie musiał wyłączyć niektóre z tych zmiennych środowiskowych dla różnych programów. Na przykład, setuid lub programy logowania powinny pozostać dość bezpieczne, gdy są uruchamiane przez niezaufane źródła; stąd zmienne nie muszą być aktywne.

Wspólne polecenia Kerberos Linux

Ta lista składa się z jednych z najważniejszych poleceń Kerberos Linux w produkcie. Oczywiście omówimy je szczegółowo w innych sekcjach tej witryny.

Komenda Opis
/usr/bin/kinit Uzyskuje i buforuje początkowe poświadczenia biletu dla głównego
/usr/bin/klist Wyświetla istniejące bilety Kerberos
/usr/bin/ftp Polecenie protokołu transferu pliku
/usr/bin/kDestroy Program zniszczenia biletów Kerberos
/usr/bin/kPasswd Zmienia hasła
/usr/bin/rdist Rozpowszechnia pliki zdalne
/usr/bin/rlogin Polecenie zdalnego logowania
/usr/bin/ktutil Zarządza plikami karty kluczowej
/usr/bin/rcp Zdalnie kopie pliki
/usr/lib/krb5/kprop Program propagacji bazy danych
/usr/bin/telnet Program Telnet
/usr/bin/rsh Zdalny program powłoki
/usr/sbin/gsscred Zarządza wpisami do tabeli GSSCRED
/usr/sbin/kdb5_ldap_uti Tworzy kontenery LDAP dla baz danych w Kerberos
/usr/sbin/kgcmgr Konfiguruje Master KDC i Slave KDC
/usr/sbin/kclient Skrypt instalacji klienta

Wniosek

Kerberos w Linux jest uważany za najciekawszy i szeroko stosowany protokół uwierzytelniania. Jest dojrzały i bezpieczny, a zatem idealny dla uwierzytelniania użytkowników w środowisku Linux. Ponadto Kerberos może kopiować i wykonywać polecenia bez nieoczekiwanych błędów. Wykorzystuje zestaw silnej kryptografii do ochrony poufnych informacji i danych w różnych niezabezpieczonych sieciach.

AWS
Jaka jest różnica między AWS aurora i mysql?
AWS Aurora jest bardziej wydajna i używana do tworzenia baz danych wykorzystywanych do produkcji, a ...
Bruno Dobrowolski
Doker
Jak zalogować się do Dockera za pomocą wiersza polecenia?
Aby zalogować się do Dockera za pomocą wiersza polecenia, użyj polecenia „Login Docker” lub „Docker ...
Zofia Góra
AWS
Co to jest instancja i jak go używać w EC2?
Instancja to maszyna wirtualna znajdująca się w chmurze, która może kosztować jej użycie. Usługa EC2...
Zofia Góra
Pyton
Python wywołaj metodę statyczną w klasie
Oliwia Makowski
Pyton
Usuń znaki specjalne z Python String
Justyna Flak
Pyton
Konwertuj ciąg na Json Python
Pani Żaneta Pakuła
Doker
Co to jest montowanie Docker Bind?
Pani Alicja Szafrański
C ++
Jak używać chrono w c++?
Renata Borowiec
Oracle Linux
Jak zainstalować Oracle SQL Developer w systemie Windows?
Pani Żaneta Pakuła
AWS
Co to jest proces wsadowy i jak go używać w AWS?
Oliwia Makowski
Baza danych Oracle
Jak baza danych Oracle różni się od programistów Oracle SQL?
Albert Szcześniak
JavaScript
Jak TypeScript różni się od JavaScript?
Pani Alicja Szafrański
PowerShell
Jak używać cmdlet „zapisu” w PowerShell?
Igor Skrzypek