Kerberos网络身份认证协议介绍及SMB文件系统对其的支持

  • 时间:
  • 浏览:1

认证服务AS (Authentication Service): 认证服务的主要功能是进行管理安全主体的身份和密钥,对客户的身份进行确认,颁发票据授权票据。

任何本身 协议全是其优缺点。这里简单介绍一下Kerberos网络身份认证协议的优缺点。

Kerberos网络身份认证协议主要定义了本来交互过程,即认证服务交互,票据授权服务交互,客户服务器交互。下面的流程描述了Kerberos网络身份认证的整个过程。下面你你是什么人 首先解释主要的消息以及内容,而且你你是什么人 对每个具体的交互过程具体说明。

在SMB2协议Session Setup 请求中嵌入了上边提到的Kerberos认证第本来交互即客户服务交互(Client/Server Exchange)的报文,而且SMB文件服务从Session Setup请求中分解出你你是什么报文后,得到了用票据授权会话密钥加密的服务会话密钥(消息F)和用服务会话密钥加密的用户认证卡(消息G),用此人 的密钥解密服务票据(消息E), 从而拿到服务会话密钥和用户身份信息,而且用服务会话密钥解密用户认证卡(消息G)拿到用户的身份信息和相关的时间戳,并对本来消息中的用户身份信息和时间戳进行核对。将会该请求是合法的,服务器从传入的PAC中分解出用户SID,组等信息,并返回认证成功。完后 所有从你你是什么会话来的请求总要以你你是什么用户SID和组的身份对文件系统进行操作。将会客户端配置了传输加密,那么完后 所有的报文总要用会话密钥进行加密。

下面是使用基于AD域系统的用户身份认证及访问权限控制将会还要的相关知识点:

基于上边的本来主要功能,KDC由认证服务和票据授权服务组成:

Kerberos是由MIT研发的本身 第三方网络身份认证协议,它提供了本身 在不安全的网络环境中客户端/服务器模型下的各个实体安全地认证对方身份的协议-即客户和应用服务互相认证对方的身份。Kerberos一般使用共享密钥系统,而且还要本来可信的第三方,称为密钥分配中心KDC(Key Distribution Center)。它定义了客户/服务和第三方认证服务即密钥分配中心之间的安全认证交互过程。

最早的Kerberos是MIT为了保护Athena项目的服务而开发的。前本来版本都本来在MIT内控 使用。从1983年结速英文了了的第四版本结速英文了了为内控 使用。你你是什么人 现在一般使用的是1993年开发的第五版本,即Kerberos 5。

在微软的身份认证体系中,完后 使用的全是NTLM(NT Lan Manager)进行认证。在Windows60 0完后 的版本中引入了对Kerberos网络身份认证的支持,并在有active directory domain的情形下优先用Kerberos作用户身份认证协议。Kerberos的安全性和僵化 性都比NTLM的十几块 协议版本要高的多。微软的实现基于Kerberos v5并有扩展 ([RFC4120],[MS-KILE], [MS-PAC]),其中主要的扩展是采用了Privilege Attribute Certificate Data Structure本来本身 机制来传输Windows身份认证信息,包括SID,组等windows特有的安全主体信息。

在《阿里云SMB协议文件存储服务支持基于AD域的用户身份认证及权限访问控制介绍》中,你你是什么人 介绍了文件系统的用户身份认证和访问权限控制的你你是什么基本概念,以及阿里云SMB协议文件存储服务目前支持基于AD域系统的用户身份认证及访问权限控制的实现。在你你是什么支持AD域系统的用户身份认证的实现中,你你是什么人 采用的是Kerberos网络身份认证协议。那么,为了更好地理解你你是什么基于域的身份认证过程,你你是什么人 在这里介绍一下Kerberos网络身份认证协议,以及SMB文件系统中是怎么支持Kerberos网络身份认证的。

在《SMB协议小传》中,你你是什么人 介绍了SMB协议以及SMB2会话的3个生命阶段,即SMB协议协商,建立SMB会话,连接文件共享,文件系统操作,断开文件共享,终止SMB会话3个阶段。其中用户认证是在建立SMB会话(Session Setup)你你是什么阶段来完成的。在协议协商阶段,文件服务会向客户端返回它支持的认证协议,即NTLM将会Kerberos。而且,在Session Setup阶段,客户端根据服务端支持的认证协议和它自身支持的协议来取舍本身 认证协议完成身份认证。下面流程简单描述了包括和AD域服务器的Kerberos认证交互在内的整个SMB服务请求过程:

本文简单介绍了Kerberos网络认证协议,以及SMB文件系统对Kerberos认证的支持。希望本文有助理解阿里云SMB协议文件存储服务的基于AD域系统的Kerberos用户身份认证。

票据授权服务 TGS (Ticket Granting Service) :票据授权服务主本来进行票据授权票据的确认,确认用户的身份并颁发服务票据。

消息A:用户/客户端密钥加密的票据授权会话密钥

消息B:用票据授权密钥加密的票据授权票据(包括客户端ID,有效期,票据授权会话密钥)

消息C:消息B 换成应用服务端ID

消息D:用票据授权会话密钥加密的用户认证卡

消息E:用应用服务密钥加密的服务票据(包括客户端ID,有效期,服务会话密钥)

消息F:用票据授权会话密钥加密的服务会话密钥

消息G:用服务会话密钥加密的用户认证卡

消息H: 用服务会话密钥加密的用户认证卡中的时间戳

将会要使用阿里云SMB协议文件存储服务的基于AD域系统的用户身份认证及访问权限控制功能,请提交工单。