开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Microsoft Kerberos与MIT kerberos

Microsoft Kerberos与MIT Kerberos是两种不同的Kerberos认证协议实现。

Kerberos是一种网络认证协议，用于在计算机网络中实现安全的身份验证和授权。它基于密钥分发和票据传递的原理，通过使用加密技术确保通信的安全性。

Microsoft Kerberos是由微软开发的Kerberos认证协议实现。它是Windows操作系统的一部分，并且被广泛用于Windows域环境中的身份验证和授权。Microsoft Kerberos提供了强大的安全性和可扩展性，并支持单点登录和跨域身份验证。

MIT Kerberos是由麻省理工学院开发的Kerberos认证协议实现。它是一个开源项目，提供了跨平台的Kerberos解决方案。MIT Kerberos也被广泛应用于各种操作系统和应用程序中，包括Linux和UNIX系统。

这两种Kerberos实现在功能和性能上基本相同，但在实现细节和部署方式上有一些差异。Microsoft Kerberos更适合在Windows环境中使用，而MIT Kerberos更适合在跨平台环境中使用。

对于Microsoft Kerberos，腾讯云提供了一些相关产品和服务，如腾讯云身份认证服务（CAM）和腾讯云密钥管理系统（KMS）。CAM可以帮助用户管理和控制访问其云资源的权限，而KMS可以帮助用户安全地存储和管理密钥。

对于MIT Kerberos，腾讯云没有特定的产品或服务与之直接相关。然而，腾讯云提供了一系列云计算基础设施和解决方案，可以与MIT Kerberos集成使用，以满足用户的安全认证需求。

更多关于腾讯云身份认证服务（CAM）的信息，请访问：https://cloud.tencent.com/product/cam

更多关于腾讯云密钥管理系统（KMS）的信息，请访问：https://cloud.tencent.com/product/kms

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

CDP私有云基础版用户身份认证概述

对于任何计算环境来讲，身份验证是最基本的安全要求。简单来说，用户和服务必须先向系统证明其身份（身份验证），然后才能在授权范围内使用系统功能。身份验证和授权携手并进，以保护系统资源。授权有多种方式处理，从访问控制列表（ACL）到HDFS扩展的ACL，再到使用Ranger的基于角色的访问控制（RBAC）。

02

Cloudera安全认证概述

身份验证是任何计算环境的基本安全要求。简单来说，用户和服务必须先向系统证明其身份（身份验证），然后才能在授权范围内使用系统功能。身份验证和授权携手并进，以保护系统资源。授权使用多种方式处理，从访问控制列表（ACL）到HDFS扩展ACL，再到使用Ranger的基于角色的访问控制（RBAC）。

01

Kerberos基础及相关攻防

kerberos是由MIT为雅典娜项目开发，整个项目目标是为了整合sso、network file systems、A unified graphical environment、naming convention service，从而达到学生和教职工能随时访问MIT的一万多台工作站。其中kerberos主要是为了解决其中的sso认证的问题

03

Windows下Dbeaver连接设置Kerberos后的Hive和Phoenix

https://web.mit.edu/kerberos/dist/index.html

03

敞开的地狱之门：Kerberos协议的滥用

作者 Rabbit_Run 微软的活动目录默认使用Kerberos处理认证请求。在BlackHat 2014上神器Mimikatz的作者剖析了微软实现的Kerberos协议中存在的安全缺陷，并通过神器Mimikatz新添功能“Golden Ticket”展示了如何利用这些安全缺陷，让Kerberos把守的地狱之门为大家敞开。一、快速介绍 Kerberos 是Windows活动目录中使用的客户/服务器认证协议，为通信双方提供双向身份认证。相互认证或请求服务的实体被称为委托人（principal）。参与的中央

09

0854-7.1.6-如何在安全的CDP集群中安装SMM并使用

本篇文章主要介绍如何在CDP7.1.6集群中配置SMM（Streams Messaging Manager）服务。它为Kafka集群提供了一个监控仪表板。在CDH6中安装该服务需要部署parcel包和安装节点软件包管理器，而在CDP7中则不需要上述操作，能够直接在CM界面中进行添加服务操作。

01

数据库PostrageSQL-GSSAPI 认证

GSSAPI是用于 RFC 2743 中定义的安全认证的一个工业标准协议。PostgreSQL根据 RFC 1964 支持带Kerberos认证的GSSAPI。GSSAPI为支持它的系统提供自动认证（单点登录）。

01

离线数仓之Kerberos基本使用及问题记录

我查找了很久，还是没有找到这个错误的解决方法。因为我的配置是没有问题的，所以猜想会不会是浏览器的问题，没想到，重启火狐浏览器，再次访问HDFS真的就可以有权限访问文件了

03

0706-6.2.0-Windows Kerberos客户端配置并访问CDH

在使用CDH的过程中，集群启用了Kerberos认证后，集群中的一些组件的Web UI也会启用Kerberos认证，例如HDFS、Yarn、Hive等组件，此时如果在Windows上对这些页面进行访问，是无法正常访问的，需要在Windows本地安装上Kerberos客户端，并进行配置后才能够访问这些需要Kerberos认证的Web UI，本文档将介绍如何在Windows 10安装Kerberos客户端并配置FireFox浏览器访问CDH集群组件的Web UI。

06

Windows Kerberos客户端配置并访问CDH

本文档描述Windows Server2008 R2（windows的内核版本是6.1，与windows 7相同）下安装Kerberos Client及FireFox下HTTP访问HDFS、Yarn、Hive、HBase等Hadoop服务的Web UI(如Namenode的50070，Yarn的8088)的过程。安装文档主要分为以下几步：

数据库PostrageSQL-在Windows上从源代码安装

对于大部分用户，推荐下载Windows的二进制发布，它在PostgreSQL 的网站上作为一个图形化安装包可供下载。从源代码构建的方式只适合于希望开发或者扩展 PostgreSQL的人们。

05

0469-如何使用DBeaver访问Kerberos环境下的Impala

在前面Fayson的文章《Hadoop SQL客户端工具之Dbeaver安装及使用》和《0468-如何使用DBeaver访问Kerberos环境下的Hive》。本篇文章Fayson主要介绍如何使用DBeaver访问Kerberos环境下的Impala。

03

0468-如何使用DBeaver访问Kerberos环境下的Hive

在前面Fayson的文章《Hadoop SQL客户端工具之Dbeaver安装及使用》介绍了DBeaver的安装以及访问非Kerberos环境下的Hive。本篇文章Fayson主要介绍如何使用DBeaver访问Kerberos环境下的Hive。

04

0840-6.3.4-Aqua Data Studio工具安装及访问安全环境的Hive和Impala

Aqua Data Studio是一款完整IDE的数据库开发工具，它提供3种主要功能：数据查询与管理工具。比对数据工具与源控制和文件系统的整合工具。帮助你创建，编辑和执行 SQL 的管理工具脚本编写，以及浏览和修改数据库组织。对所有主要关系的数据库提供一个一致的界面。这准许数据库主管或者开发者从一个应用程序同时地处理多个的任务。本篇文章主要介绍如何安装 Aqua Data Studio及访问安全环境下的Hive和Impala。

01

0841-7.1.6-Aqua Data Studio工具安装及访问安全环境的Hive和Impala

Aqua Data Studio是一款完整IDE的数据库开发工具，它提供3种主要功能：数据查询与管理工具。比对数据工具与源控制和文件系统的整合工具。帮助你创建，编辑和执行 SQL 的管理工具脚本编写，以及浏览和修改数据库组织。对所有主要关系的数据库提供一个一致的界面。这准许数据库主管或者开发者从一个应用程序同时地处理多个的任务。本篇文章主要介绍如何安装 Aqua Data Studio及访问安全环境下的Hive和Impala。

03

【大数据安全】基于Kerberos的大数据安全验证方案

互联网从来就不是一个安全的地方。很多时候我们过分依赖防火墙来解决安全的问题，不幸的是，防火墙是假设“坏人”是来自外部的，而真正具有破坏性的攻击事件都是往往都是来自于内部的。

05

0784-CDP安全管理工具介绍

本文档描述如何使用多种安全管理工具来保护CDP环境。重点介绍安全管理工具与CDP环境之间的集成点，但不会探讨这些工具的核心功能。

02

【大数据安全】基于Kerberos的大数据安全方案

互联网从来就不是一个安全的地方。很多时候我们过分依赖防火墙来解决安全的问题，不幸的是，防火墙是假设“坏人”是来自外部的，而真正具有破坏性的攻击事件都是往往都是来自于内部的。

02

深入解读MS14-068漏洞：微软精心策划的后门？

0x0 背景初次认识该漏洞是在FreeBuf上对该漏洞的预警《漏洞预警：系统权限提升漏洞（CVE-2014-6324）影响全版本Windows服务器》：微软今天（2014-11-18）发布了一个紧急补丁，修复了一个影响全部版本Windows服务器的严重漏洞。今天发布的MS14-068漏洞补丁用于解决Microsoft Windows Kerberos KDC漏洞（CVE-2014-6324），该漏洞允许黑客提升任意普通用户权限成为域管理员（Domain Admin）身份。也就是说，你在一台普通域用户的机

08

如何通过Tableau连接Kerberos的Hive/Impala

昨天Fayson写了一篇《如何安装Tableau并连接CDH的Hive/Impala》，后台关注人数当天增加了40人，有点大大超过Fayson的预期，首先还是谢谢各位关注Fayson的人。

0857-7.1.6-如何查看DAS中执行的Hive On Tez作业的日志

使用DAS查看日之前，需要先知道DAS如何安装，参考《0853-7.1.6-如何在CDP集群上安装DAS》，本篇文章主要介绍如何查看DAS中执行的Hive On Tez作业的日志。

03

0696-5.16.1-如何使用SAS连接CDH5.16.1集群的Hive和Impala

SAS提供了从基本统计数的计算到各种试验设计的方差分析，相关回归分析以及多变数分析的多种统计分析过程，几乎囊括了所有最新分析方法，其分析技术先进，可靠。分析方法的实现通过过程调用完成。许多过程同时提供了多种算法和选项。Cloudera与SAS是相互认证的合作伙伴，在各自的官网都能找到集成安装的专业文档，也能得到专业的支持。本文主要介绍SAS的安装，并通过SAS访问Kerberos和非Kerberos环境下的Hive和Impala。

03

0465-如何使用SQuirreL访问Kerberos环境下的Hive

在前面Fayson的文章《0459-如何使用SQuirreL通过JDBC连接CDH的Hive（方式一）》和《0463-如何使用SQuirreL通过JDBC连接CDH的Hive（方式二）》介绍了SQuirreL的安装以及使用原生和Cloudera提供的JDBC 驱动访问Hive。本篇文章Fayson主要介绍如何使用Cloudera提供的Hive JDBC驱动访问Kerberos环境下的Hive，为什么不讲原生的JDBC驱动，因为Fayson也没有调通。

04

以“催眠”绕过认证：一个影响Kerberos协议长达20年的漏洞

Kerberos这一名词来源于希腊神话“三个头的狗——冥府守门狗”，在系统中是一种认证协议，使用ticket让节点在不安全的网络环境下进行安全的通信，它能够防止窃听、防止replay攻击、保护数据完整性。黑客可以利用漏洞提升自己的网络权限，还可以获取内网资源，比如窃取密码。三名研究员发现了这一漏洞，他们把它命名为“奥菲斯的竖琴”，因为它的原理类似希腊诗人奥菲斯用竖琴催眠守门狗的过程。研究人员还发现，这个漏洞影响的Kerberos版本可以追溯到1996年，由于年代久远，Kerberos有其他的实现。这

04

FreeIPA管理本地用户

FreeIPA可以快速、便捷的将linux系统接入，进行统一的身份认证和权限管理。

01

0474-如何使用SQL Developer访问Hive

Fayson在前面的文章也介绍了几款SQL客户端工具用来访问CDH集群的Hive和Impala，本篇文章Fayson再介绍一款Oracle的SQL客户端工具SQL Developer，使用该工具访问Kerberos环境下的Hive。

02

第四期学习活动—第二天优秀作业

NTLM是NT LAN Manager的缩写，这也说明了协议的来源。NTLM 是指 telnet 的一种验证身份方式，即质询/应答身份验证协议

04

TCP/UDP常见端口参考

下面的表格中列举了包括在红帽企业 Linux 中的服务、守护进程、和程序所使用的最常见的通信端口。该列表还可以在 /etc/services 文件中找到。要查看由互联网号码分派局（IANA）制定的“著名的已注册动态端口”官方列表，请参考以下 URL：http://www.iana.org/assignments/port-numbers “层”是指服务或协议在交通层上使用 TCP 还是 UDP。若没有列举，这个服务或协议就两者都使用。著名端口端口号码 / 层名称注释 1 tc

03

HTTP,TCP,UDP常见端口对照表大全

HTTP,TCP,UDP常见端口对照表,下面罗列了包括在Linux 中的服务、守护进程、和程序所使用的最常见的通信端口小贴士：Ctrl+F 快速查找 Http端口号（点标题可收缩或展开）

04

如何迁移Cloudera Manager节点

本文档讲述如何将Cloudera Manager在Kerberos环境下迁移至新的CM节点。通过本文档，您将学习到以下知识：

06

大数据平台安全认证 -- Kerberos

自从2018年大数据平台升级，Hadoop/Kafka从此被Kerberos立体环绕，虽然知道kinit/kdestory/klist命令，但是每次执行都感觉云里雾绕，尤其是对接租户的时候，多次陷入尴尬的境地。实习带我的老师曾提起培训一次kerberos，可是还没提上日程就离职了。于是决定去靠自己理解一下Kerberos，脱离这种没有安全感的日子。

01

如何使用Maskyi并通过ADCS远程导出域用户凭证

Masky是一个功能强大的Python库，Masky带有自己的命令行接口，可以允许广大研究人员在不需要转储LSASS进程内存数据的情况下，通过一个ADCS远程导出域用户凭证。

04

SPN扫描

Kerberos是一种支持票证身份验证的安全协议。如果客户端计算机身份验证请求包含有效的用户凭据和服务主体名称 (SPN)，则 Kerberos 身份验证服务器将授予一个票证以响应该请求。然后，客户端计算机使用该票证来访问网络资源。在内部网络中，SPN扫描通过查询向域控制器执行服务发现。可以帮助我们识别正在运行重要服务的主机，如终端、交换机、微软SQL等，并隐藏他们。此外，SPN的识别也是kerberoasting攻击的第一步。

02

客户端认证-认证方式

信任认证 trust 这个方法允许任何可以与OushuDB 数据库服务器连接的用户以他们期望的任意OushuDB 数据库用户身份进行连接，而不需要口令或任何其他认证。 trust认证对于单用户工作站的本地连接是非常合适和方便的，它只适合 TCP/IP 连接，只有在你信任那些trust 行上所有机器中的所有用户的时候才适合，一般很少使用trust作为任何除来自localhost (127.0.0.1) 以外的 TCP/IP 连接的认证方式，建议不要在生产环境中使用。 ident认证 ident 认证方法是通过从一个ident服务器获取客户端的操作系统用户名，然后列出允许的相对应名称的映射文件确定允许的数据库用户名。这个用户映射文件为pg_ident.conf，记录着与操作系统用户匹配的数据库用户，如果某操作系统用户在本文件中没有映射用户，则默认的映射数据库用户与操作系统用户同名。比如，服务器上有名为user1的操作系统用户，同时数据库上也有同名的数据库用户，user1登录操作系统后可以直接输入psql，以user1数据库用户身份登录数据库且不需密码。

02

Windows本地安装配置Kerberos客户端

在Ambari平台上，启用了Kerberos之后，一些服务的Web UI，像Namenode:50070、Oozie Web UI、Storm UI、Solr Web UI等快速链接大部分都是需要Kerberos认证才可以继续使用的。

03

Kerberos 身份验证在 ChunJun 中的落地实践

Kerberos，在古希腊神话故事中，指的是一只三头犬守护在地狱之门外，禁止任何人类闯入地狱之中。

03

windows域环境下认证和攻击初识

Kerberos是一种认证机制。目的是通过密钥系统为客户端/服务器应用程序提供强大的可信任的第三方认证服务：保护服务器防止错误的用户使用，同时保护它的用户使用正确的服务器，即支持双向验证。kerberos最初由MIT麻省理工开发，微软从Windows 2000开始支持Kerberos认证机制，将kerberos作为域环境下的主要身份认证机制，理解kerberos是域渗透的基础。

02

使用Ansible快速部署CDH集群

ansible是一种自动化运维工具,基于paramiko开发的,并且基于模块化工作，Ansible是一种集成IT系统的配置管理、应用部署、执行特定任务的开源平台，它是基于python语言，由Paramiko和PyYAML两个关键模块构建。集合了众多运维工具的优点，实现了批量系统配置、批量程序部署、批量运行命令等功能.ansible是基于模块工作的,本身没有批量部署的能力.真正具有批量部署的是ansible所运行的模块，ansible只是提供一种框架.ansible不需要在远程主机上安装client/agents，因为它们是基于ssh来和远程主机通讯的.

00

如何使用gssapi-abuse检测活动目录网络内存在GSSAPI滥用风险的主机

gssapi-abuse是一款针对GSSAPI滥用的安全检测工具，在该工具的帮助下，广大研究人员可以直接在目标活动目录网络环境中检测存在GSSAPI滥用风险的主机。

01

Kerberos相关问题进行故障排除| 常见错误和解决方法

此消息表明一个操作尝试要求以Kerberos的user/host@realm身份认证的操作，但票据cache中没有用于user/host@realm的票据。

03

横向移动之WinRM横向移动

"Windows远程管理(WinRM)"是WS-Management协议(Web Services for Management，又名WSMan)的Microsoft实现，WS-Management Protocol是基于标准简单对象访问协议(SOAP)的对防火墙友好的协议。运行来自不同硬件和操作系统的硬件和操作供应商，以实现互操作（Microsoft Docs）。

01

SPN服务主体名称发现详解

Kerberos是一种支持票证身份验证的安全协议。如果客户端计算机身份验证请求包含有效的用户凭据和服务主体名称 (SPN)，则 Kerberos 身份验证服务器将授予一个票证以响应该请求。然后，客户端计算机使用该票证来访问网络资源。在内部网络中，SPN扫描通过查询向域控制器执行服务发现。这对于红队而言，可以帮助他们识别正在运行重要服务的主机，如终端、交换机、微软SQL等，并隐藏他们。此外，SPN的识别也是kerberoasting攻击的第一步。

00

0837-使用Knox代理连接开启Kerberos认证的Impala

在 ODBC and JDBC Drivers（ODBC 和 JDBC 驱动程序）下，选择适合系统环境的 hive 或 Impala 的ODBC驱动程序下载，注意不是JDBC

03

基于ambari的Kerberos安装配置

对于Kerberos系统来说，默认使用的 AES-256来进行加密。在集群启用Kerberos之前，必须在Ambari集群上的每个节点上都装有JCE。

02

Windows Red Team Cheat Sheet

PsExec, SmbExec, WMIExec, RDP, PTH in general.

03

Active Directory中获取域管理员权限的攻击方法

攻击者可以通过多种方式获得 Active Directory 中的域管理员权限。这篇文章旨在描述一些当前使用的比较流行的。此处描述的技术“假设破坏”，即攻击者已经在内部系统上站稳脚跟并获得了域用户凭据（也称为后利用）。

01

以最复杂的方式绕过 UAC

让我们从系统如何防止您绕过最无意义的安全功能开始。默认情况下，如果用户是本地管理员，LSASS 将过滤任何网络身份验证令牌以删除管理员权限。但是有一个重要的例外，如果用户是域用户和本地管理员，则 LSASS 将允许网络身份验证使用完整的管理员令牌。如果说您使用Kerberos在本地进行身份验证，这将是一个问题。这不是微不足道的 UAC 绕过吗？只需以域用户身份向本地服务进行身份验证，您就会获得绕过过滤的网络令牌？

03

HBase Thrift with Python

本文内容是基于 Centos 7、HDP 3.0.0、HBase 2.0.0、Python 2.7 环境下，其他环境的童鞋选择性进行参考。

03

Windows 认证类型：使用场景和关系

Windows 提供了一系列的认证类型，包括 Basic、Kerberos、Negotiate、Certificate、CredSSP、NTLM、Digest等。这些认证类型在不同的应用场景中起到关键作用，也在某种程度上相互关联。本文将详细介绍这些认证类型，以及他们的使用场景和关系。

02

干货 | 域渗透之域持久性：Shadow Credentials

https://www.dsinternals.com/wp-content/uploads/eu-19-Grafnetter-Exploiting-Windows-Hello-for-Business.pdf

03

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭