当前位置:文档之家 › 大数据培训_Module 05 Kerberos架构原理

大数据培训_Module 05 Kerberos架构原理

  • 格式:pptx
  • 大小:441.65 KB
  • 文档页数:29

下载文档原格式

  / 29

合集下载

大数据集群-hadoop的安全防护

大数据集群-hadoop的安全防护

大数据集群-hadoop的安全防护作者:刘海卫来源:《中国新通信》2021年第16期【摘要】大数据产业是目前国家信息产业的重点发展方向。

越来越多的单位和企业都开始使用大数据系统存储重要且敏感的数据,这些数据是企业长期积累的财富,必须严密保护。

但是大数据系统也带来了全新的安全挑战,如果不能很好的应对这个挑战,企业的数据就会面临巨大的风险,势必会影响人们使用大数据系统的信心。

【关键词】 hadoop安全大数据安全计算机集群安全组件安全一、Hadoop面临的安全挑战大数据产业是目前国家信息产业的重点发展方向。

越来越多的单位和企业都开始使用大数据系统存储重要且敏感的数据,这些数据是企业长期积累的财富,必须严密保护。

但是大数据系统也带来了全新的安全挑战,如果不能很好的应对这个挑战,企业的数据就会面临巨大的风险,势必会影响人们使用大数据系统的信心。

Hadoop集成了数据采集、数据存储、数据分析、数据展示等各方面的多个组件,是目前最常用的处理大数据的架构。

但hadoop的安全性是比较差的,因为hadoop设计初衷是为搜索引擎建立网页索引,本来是在企业内部可信环境下使用的,安全并不是其重点考虑的问题,加上hadoop服务组件众多,所以hadoop平台天生就有认证分散,弱授权、弱审计且分散的特点,给安全工作带来很大的不便。

它面临的安全风险主要体现在以下几个方面:1.具有集群规模大、内部互信度高的特点,集群内部机器存在SSH免密登录的问题,因此只要集群内部一台机器被入侵,往往整个集群都沦陷。

2.系统是为了数据共享,所以是开放的,与之交互的外部应用系统和用户也可能是动态变化的,这会给大数据系统认证和权限管理带来很大麻烦。

3.系统组件多,且各个组件弱认证、弱授权、弱审计,存在着很大的安全风险。

4.系统内部能够动态扩容,新加入的机器也可能会带来新的安全隐患。

5.系统的存储、传输都采用明文形式,很容易造成信息泄露。

二、Hadoop安全防护研究针对hadoop集群规模大机器多、内部互信度高(存在SSH免密登录)的特点,我们设计了封闭的大数据集群安全架构。

Kerberos配置

Kerberos配置

1前言假设你的Openldap已经配置好并成功运行,本文只是介绍如何使Openldap使用Kerberos 来验证用户身份。

本配置在F C5上通过,在使用r h e时,很可能会有不同的情况。

2名词解释 K e r b e r o s 基于共享密钥的安全机制,由MIT发明,现在已经被标准化,最新是版本5,简称krb5。

Kerberos特别适合局域网络,Windows2k及以上系统的安全机制即基于kerberos。

Kerberos 有多个实现版本,本文使用的一个它的实现叫做m i t-k e r b e r o s。

S A S L 简单认证和安全层(Simple Authentication and Security Layer)。

也是一套RFC定义的标准。

它的核心思想是把用户认证和安全传输从应用程序中隔离出来。

像SMTP协议在定义之初都没有考虑到用户认证等问题,现在SMTP可以配置使用SASL来完成这方面的工作。

O p e n l d a p同样如此。

S A S L支持多种认证方法,比如 A N O N Y M O U S:无需认证。

P L A I N:明文密码方式(c l e a r t e x t p a s s w o r d) DIGEST-MD5: HTTP Digest 兼容的安全机制,基于MD5,可以提供数据的安全传输层。

这个是方便性和安全性结合得最好的一种方式。

也是默认的方式。

GSSAPI:Generic Security Services Application Program Interface Gssapi本身是一套API,由IETF标准化。

其最主要也是着名的实现是基于Kerberos的。

所以一般说到g s s a p i都暗指k e r b e r o s实现。

E X T E R N A L:认证已经在环境中实现了,比如S S L/T L S,I P S e c.C y r u s S A S L C y r u s-S A S L是S A S L协议最常用的一个实现。

《第06讲 Kerberos认证协议.ppt》

《第06讲 Kerberos认证协议.ppt》

Cross-realm认证 Cross-realm认证(续) 认证(
Kerberos 5支持跨 支持跨realm认证 支持跨 认证
提供了可伸缩能力
Kerberos数据库 Kerberos数据库
KDC必需一个数据库,保存以下基本信息 必需一个数据库, 必需一个数据库
Name: principal's identifier Key: principal's secret key P_kvno: principal's key version Max_life: maximum lifetime for tickets Max_renewable_life:
一个记录,其中包含一些最近产生的信息, 一个记录,其中包含一些最近产生的信息,产生这些信息需要 用到客户和服务器之间共享的会话密钥
Credentials
一个ticket加上一个秘密的会话密钥 加上一个秘密的会话密钥 一个
Kerberos Model
基本的ticket交换 交换 基本的
Client -> KDC
Principal(安全个体 安全个体) 安全个体
被认证的个体,有一个名字 和口令(password) 被认证的个体,有一个名字(name)和口令 和口令
KDC(Key distribution center)
是一个网络服务,提供 是一个网络服务,提供ticket和临时的会话密钥 和临时的会话密钥
Ticket
Realmc IDc Ticketv EncryptedData(with Kc,tgs)
Kc,v Times Nonce2 Realmv IDv
Ticketv信息
Encrypted with Kv

Kerberos5协议的形式化分析综述

Kerberos5协议的形式化分析综述

第36卷 第5期2009年5月计算机科学Comp uter Science Vol.36No.5May 2009到稿日期:2008206213 本文研究得到国家自然科学基金(60473057,90604007,60703075,90718017)和高等学校博士学科专项科研基金资助课题(20070006055)的支持。

赵倩倩 硕士研究生,研究方向为安全协议的形式化验证;李舟军 教授,博士生导师,研究方向为进程代数理论、安全协议的形式化验证及数据挖掘;周 倜 博士研究生,研究方向为安全协议的形式化验证。

K erberos 5协议的形式化分析综述赵倩倩1 李舟军1 周 倜2(北京航空航天大学计算机学院 北京100083)1 (国防科技大学计算机学院 长沙410073)2摘 要 网络认证协议Kerberos 5提供三方认证机制,允许客户在单次登录的前提下实现对多个网络应用服务器的身份认证,目前该协议已得到广泛应用。

FreeBSD ,Linux 服务器以及微软公司的Windows 系列均采用该协议提供网络安全认证,因而该协议自身的安全性引起人们的广泛关注。

由于该协议采用时间戳机制,同时涉及4个参与方,协议的复杂度较高,如何对其安全性进行全面的形式化分析与验证,一直是安全协议分析领域的研究热点与难点。

目前国际上对其验证的方法主要分为两类,分别是基于符号模型的验证方法和基于计算模型的验证方法。

全面系统地介绍和分析了目前国际上对该协议的形式化验证工作,在此基础上简要介绍作者目前的研究工作。

关键词 Kerberos 5,形式化分析,认证性,保密性 Survey on Formal Analysis of K erberos 5ZHAO Qian 2qian 1 L I Zhou 2jun 1 ZHOU Ti 2(Depart ment of Computer ,Beihang University ,Beijing 100083,China )1(Depart ment of Computer Science ,National University of Defence Technology ,Changsha 410073,China )2Abstract Network Authentication Protocol Kerberos 5provides us with a third 2party authentication mechanism.The protocol was designed to allow a client to repeatedly authenticate herself to multiple network servers based on a single login.Nowadays this protocol has been widely used in Windows serials as well as FreeBSD and Linux system for net 2work authentication.As a result ,the security properties of it attract great attention.Since the protocol adopts timestamp and involves four participants ,how to formally analyze and verify its security comes to be a hot and hard research point.Many methods were carried out internationally ,which can be divided into two main approaches :one based the symbolic model and another based on the computational model.This paper introduced and analyzed typical formally work on ana 2lyses of Kerberos 5over the world across 2the 2board and systematically ,finally showed out our current research effort.K eyw ords Kerberos 5,Formally analysis ,Authentication ,Confidentiality 1 引言伴随开放网络系统的飞速发展,网络系统的安全性及可靠性面临严峻的挑战。

11_Hadoop基础技术-KerberosLDAP

11_Hadoop基础技术-KerberosLDAP

密码太多的烦恼
聊天工具 游戏
看漫画
邮箱 微博
听音乐 追剧追番
各种登录。。。 账号密码记不住呀!!!
统一身份认证
统一身份认证就类似于游乐园的通行规则一样,游客可以 通过一个通行证(秘钥)来畅玩授权过的游乐项目。
在开源大数据平台中,用户可能需要同时使用很多开源组 件,因此会涉及到每个组件的身份认证和访问权限等问题。 利用统一的认证服务能够更好的管理用户的身份认证及会 话管理等。
单点登录的特点如下:
为用户提供便捷服务 提高运维和管理效率 简化应用系统的开发
实现单点登录的主流技术
对于单点登录的实现,主要有如下六种技术:
cookies技术
Broker-based技术
Agent-based技术
Agent and Broker-based技术
Gateway-based技术
Ldap 服务器
身份认证功能设计
LdapServer通过使用Group(组)和Role(角色)的身份认证方式来管理用户,从而更好地管理 不同组织下的用户的属性和权限。
LdapServer的Group(组)是对用户进行统一的组管理,如果用户添加到该组中,该组的 member属性中就会添加成员的dn记录。
LdapServer作为目录服务系统是由目录数据库和一套访问协议组成的系统:
LdapServer基于OpenLDAP开源技术实现。 LdapServer以Berkeley DB作为默认的后端数据库。 LdapServer是基于LDAP标准协议的一种具体开源实现。
LdapServer组织模型
例:左下方节点dn为:
cn=stu_George,uid=001, ou=Primary school, dc=CN,dc=edu

大数据平台建设方案

大数据平台建设方案

大数据平台建设方案随着互联网的快速发展,我们进入了信息爆炸的时代。

大数据作为新一代的核心驱动力,正逐渐成为各行业的重要资源。

在这个背景下,如何构建一个高效的大数据平台,成为了各个企业与组织亟待解决的问题。

本文将着重探讨大数据平台的建设方案,从不同的角度与维度入手,为读者带来深度思考与新的观点。

一、平台架构设计在构建大数据平台之前,我们首先需要设计一套合理的平台架构。

一个好的平台架构应该具备以下几个要素:1. 数据采集与存储层:这是大数据平台的基础,应该具备高效、稳定的数据采集与存储能力。

在采集层,我们可以使用各种数据采集工具和技术,如Flume、Kafka等,将数据从不同的数据源收集到平台中。

在存储层,我们可以选择使用Hadoop、HBase等分布式存储系统,确保数据的高可靠性和可扩展性。

2. 数据处理与计算层:这是大数据平台的核心,主要用于对数据进行分析与挖掘。

在这一层,我们可以使用各种计算框架和引擎,如MapReduce、Spark等,处理海量的结构化和非结构化数据,提取有价值的信息。

同时,可以采用机器学习和深度学习算法,对数据进行建模和预测,为业务决策提供支持。

3. 数据可视化与应用层:这是大数据平台的最终目标,将处理后的数据以可视化的形式展现出来,并应用于各个业务场景中。

在这一层,我们可以使用各种数据可视化工具和技术,如Tableau、PowerBI等,将数据转化为直观、易懂的图表和报表。

同时,可以开发各种基于大数据的应用程序,实现个性化的服务和精准营销。

二、技术选型与整合在搭建大数据平台时,选择合适的技术和工具非常重要。

不同的技术和工具在处理大数据的能力和效率上存在差异,因此需要进行合理的技术选型与整合。

1. 数据存储技术:在选择数据存储技术时,应考虑数据的类型、规模和访问要求。

如果数据主要为结构化数据,并且需要进行实时查询和分析,可以选择关系型数据库;如果数据主要为非结构化数据,并且需要进行批量处理和分析,可以选择分布式文件系统。

kerberos 跨域原理

kerberos 跨域原理
Kerberos是一种网络认证协议,用于在计算机网络中实现身份
验证。

它的跨域原理涉及到几个重要的概念和步骤。

首先,Kerberos基于客户端-服务器模型,其中包括三个主要
组件,客户端、认证服务器(AS)和票据授予服务(TGS)。

当用户
想要访问网络资源时,客户端会向AS发送身份验证请求。

AS会验
证用户的身份,并生成一个加密的票据(Ticket-Granting Ticket,TGT),然后将其发送回客户端。

接下来,客户端使用TGT向TGS发送请求,请求访问特定的服务。

TGS会验证TGT的有效性,如果通过验证,TGS会生成一个用于
访问特定服务的票据,并将其发送回客户端。

最后,客户端使用这个服务票据向目标服务发送请求。

目标服
务会验证票据的有效性,如果通过验证,就会向客户端提供所需的
服务。

整个过程中,Kerberos使用对称密钥加密技术来确保安全通信。

这意味着客户端和各个服务器都共享一个密钥,用于加密和解密通
信中的数据。

总的来说,Kerberos的跨域原理基于票据和对称密钥加密,通过认证服务器和票据授予服务的配合,实现了安全的跨域身份验证和授权。

这种机制有效地保护了网络通信的安全性和隐私性。

社会治安综合治理大数据一体化管理平台建设方案

培训与发展:提供培训和发展机会,帮助工作人员提升技能和素质,增强工作能力
团队建设:加强团队建设,提高团队协作和沟通能力,营造良好的工作氛围
预期成果:建设一个高效、智能、安全的社会治安综合治理大数据一体化管理平台,提高社会治安综合治理水平衡量标准:平台建设完成后,能够实现以下目标:提高案件侦破率、降低犯罪率、提升公众安全感、提高社会治理效率等 我正在写一份主题为“社会治安综合治理大数据一体化管理平台建设方案”的PPT,现在准备介绍“预期成果与效益分析”,请帮我生成“预期社会效益”为标题的内容 预期社会效益我正在写一份主题为“社会治安综合治理大数据一体化管理平台建设方案”的PPT,现在准备介绍“预期成果与效益分析”,请帮我生成“预期社会效益”为标题的内容预期社会效益提高社会治安综合治理水平,保障人民群众生命财产安全提升公安机关打击犯罪的能力和效率增强社会公众的安全感和信任度促进社会和谐稳定,推动经济社会发展
数据安全风险:对数据采集、存储、传输等环节进行全面评估
隐私泄露风险:对个人隐私保护措施进行评估,确保数据不被滥用
应急预案:建立数据安全应急响应机制,及时处理数据安全事件
定期评估与审查:对数据安全与隐私保护措施进行定期评估,确保其有效性和合规性
漏洞扫描与修复:对系统进行定期漏洞扫描,及时发现并修复潜在的安全风险
数据存储容量:根据实际需求进行动态扩展
数据安全保障:采用加密技术、备份策略等确保数据安全
挖掘算法:采用关联规则、聚类分析等算法挖掘数据中的潜在规律和模式
数据来源:多渠道、多维度获取数据
数据分析:运用统计学、机器学习等方法对数据进行处理和分析
数据可视化:将分析结果以图表、报表等形式进行可视化展示
系统集成:将各个子系统进行整合,实现数据共享和业务协同

Module 08 Loader架构原理


第10页
登录Loader的UI界面
Loader通过作业管理,来实现对数据提取、转换和加载。 进入Loader作业管理界面: 1.登录FusionInsight Manager,选择Services->Loader,进入Loader组件操作维护界面 2.在Loader WebUI处,点击主LoaderServer(Active)的链接,进入Loader作业管理界面 版权所有© 2015 华为技术有限公司
第11页
Loader作业管理界面介绍
新增作业 作业状态显示 已有作业管理
分组显示作业
新建作业: 1.点击右上角“New job”按钮,进入新建作业向导 2.附件中是Loader的详细使用说明和参数介绍。或是参考CPI资料:管理员指南->业务操 作指南->Loader
版权所有© 2015 华为技术有限公司
第6页
Loader模块架构 – 模块说明
版权所有© 2015 华为技术有限公司
第7页
Loader部署原则
1.Loader必须部署到NodeManager所在的节点上 2.必须部署在两个节点上(主备双机)
版权所有© 2015 华为技术有限公司
第8页
Loader在Manager界面上呈现
Loader Server采用主备双机, 提供高可靠性。
外部数据源连接器配置
作业使用的MapReduce队列 队列中的优先级
第13页
创建Loader作业 – 配置Connection
Name Connector Connection的名称 连接器的类型
Sftp server IP
Sftp server port Sftp user name Sftp password

Allwinner Camera模块开发说明文档说明书

ACamlelrCwao模ni块nf开in发de说e明rn文ti档al
第 1 页 共 54 页Biblioteka 文档履历版本号 日期
制/修订人 制/修订记录
V1.0
2013-03-17
曾令莹
建立初始版本
V1.1
2013-04-28
曾令莹
补充 device 调试的说明
曾令莹
补充 sensor 器件驱动的格式说明和编写要求,补充 cam_detect 模块,
n 2.4.2.3. CCI_Client 调试节点使用方法 ...........................................................................16
3. 模块体系结构描述.................................................................................................................... 18 4. 模块开发 demo.......................................................................................................................... 19
l 2.3. 源码结构介绍...................................................................................................................5
2.4. 模块配置介绍................................................................................................................... 7
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Kerberos、Ldap部署 Kerberos、Ldap参数介绍 Kerberos、Ldap 常用命令


版权所有© 2015 华为技术有限公司
第21页
常用角色部署方式

Kerberos服务角色:KerberosServer、KerberosAdmin Kerberos服务采用双主模式部署,即安装的时候,将kerberos服务
8.获 取 用 户 组
名称
Manage r Kerbero s1 Ldap1
含义
FusionInsight Manager 部署在oms中的kerberos(管理平 面)服务。 部署在oms中的ldap(管理平面)服 务。
名称
Manager WS Kerberos2 Ldap2
含义
FusionInsight HD WebBrowser 部署在集群中的kerberos(业务 平面)服务。 部署在集群中的ldap(管理平面) 第14页 服务。
版权所有© 2015 华为技术有限公司
第18页
二次开发认证
FusionInsight 提供了二次开发接口,用于客户或者上层业务产品集成FusionInsight作为二次开 发使用,二次开发过程中,安全模式集群提供了特定的二次开发认证接口,用于二次开发过程中 的安全访问,例如hadoop-common api提供的UserGroupInformation类,该类提供了多个安 全认证api接口: setConfiguration()主要是获取对应的配置,设置全局变量等参数。 loginUserFromKeytab()获取TGT接口。 认证流程可以参考Kerberos基本原理章节。
dc=com
dc=DE
dc=net
dc=Google
ou=People
ou=Servers
uid=M arix Wong
图1.2 版权所有© 2015 华为技术有限公司 第10页
目录
1. Kerberos、Ldap概述 2. Kerberos、Ldap原理

Kerberos认证应用场景 Kerberos认证原理 Ldap访问原理
版权所有© 2015 华为技术有限公司
第12页
Kerberos认证原理
认证服务器(AS)
客户端 3.KRB_TGS_REQ
票据授权服务器 (TGS)
数据库(bd2,ldap)
4.KRB_TGS_REP
服务端
版权所有© 2015 华为技术有限公司
第13页
FusionInsight Kerberos架构原理
安装集群后Ldap数据同步
OmsLdap( Standby) OmsLdap( Standby) 组件 Ldap(Active) 组件 Ldap(Standby)
数据同步方向
数据同步方向
数据同步方向
数据同步方向
安装集群前数据同步方向:主OmsLdap---->备OmsLdap 安装集群后数据同步方向:主 组件Ldap---->备组件Ldap、备OmsLdap 、备OmsLdap
版权所有© 2015 华为技术有限公司
第6 页
Ldap文件结构

LDAP信息模型是基于条目来组织地(如图1.1),一个条目 是一个属性的集合,有一个全球唯一的识别名( DN, Domain Name )。DN用于标识条目。每个条目的属性有一 个类型和一个或多个值。该类型通常是可记忆的字符串,如 “ cn”就是标识通用名称,或者“ 电 子 邮 件 ”就是电子邮件 地址。该类型值的语法依赖于属性类型。 例如,一个 cn 属 性可以包含一个值Marix Wong。 一个 mail 属性可以包含值 “ marix@”
版权所有© 2015 华为技术有限公司
FusionInsight Ldap访问原理
Kerberos Ldap 用户管理 权限管理
数据读取/写入/修改
数据读取/写入/修改
数据读取/写入/修改
版权所有© 2015 华为技术有限公司
第15页
Ldap访问原理(续)
安装集群前OmsLdap数据同步
OmsLdap(Active) OmsLdap(Standby)
话的票据,服务票据存在有效期,当服务票据失效后,应用
侧需要重新建立与服务端的安全会话。默认有效期为5分钟, 不可配置。
版权所有© 2015 华为技术有限公司 第5 页
Ldap介绍

Ldap (Lightweight Directory Access Protocol),轻量目录访问协 议,提供被称为目录服务的信息服务,特别是基于X.500(构成全 球分布式的名录服务系统的协议)的目录服务。
1. Kerberos、Ldap概述

Kerberos介绍 Kerberos基本概念 Ldap介绍 Ldap文件结构



2. Kerberos、Ldap原理 3. Kerberos、Ldap特性 4. Kerberos、Ldap维护
版权所有© 2015 华为技术有限公司
第3 页
Kerberos介绍
版权所有© 2015 华为技术有限公司
第8 页
Ldap文件结构(续)
c=US c=GB st=California
o=Google
ou=Sales
ou=Marketing
cn=M arix Wong
图1.1
版权所有© 2015 华为技术有限公司 第9 页
Ldap文件结构(续)

树也可以根据互联网域名组主。这种命名方式目前在业界非 常普遍,因为它允许使用DNS为目录服务定位 。如图1.2所 示的Ldap目录树中使用基于域的命名。
版权所有© 2015 华为技术有限公司
第16页
目录
1. Kerberos、Ldap概述 2. Kerberos、Ldap原理 3. Kerberos、Ldap特性

集群内服务认证 二次开发认证


Ldap HA机制
4. Kerberos、Ldap维护
版权所有© 2015 华为技术有限公司
第17页
集群内服务认证
Kerberos这一名词来源于希腊神话“ 三个头的 狗— —地狱之门守护者”,后来沿用作为安全认 证的概 念,该系统设计上采用客户端/服务器结构 与 DES(Data Encryption Standard 标准加密技 术)、 AES(Advanced Encryption Standard 高 级加密 技术)等加密技术,并且能够进行相互认证, 即客 户端和服务器端均可对对方进行身份认证。 可以用 于防止窃听、防止replay攻击、保护数据 完整性等 场合,是一种应用对称密钥体制进行密 钥管理的系 统
1.登 录
ManagerW ebU I
2.请 求
ManagerW S
4.1获 取 用 户 组 4.2获 取 用 户 组
L D A P 1 sync L D A P 2
5.跳 转 到 组 件 W e bU I
7.认 证
Kerberos2 9.组 件 访 问 kerberos
组件 WebUI
6.请 求
组 件 W e b A p p
User 3.认 证 CASServ er 3.1 认证
Kerberos1
Step 1、2、3、4: 登录Manager WebUI的流 程 Step 5、6、7、8: 登录组件UI的流程 Step9 :组件间访问安全认证 Kerberos1对Ldap中数据的操作方式:访问 Ldap1(主备两个实例)和Ldap2(主备两个实 例),是采用负荷分担访问,数据的写操作只能 在Ldap2(主实例)上。数据的读操作可以在 Ldap1或者Ldap2上。 Kerberos2对Ldap中数 据的操作方式:只能访 问Ldap2(包含主备两 个实例),数据的写操作 只能在Ldap2(主实 例)
FusionInsight 安全模式集群内任意服务间的相互访问都是基于Kerberos安全方案架构实现, 集群内某个服务(如HDFS)prestart的时候,会预先去Kerberos中获取该服务对应的服务名 称 sessionkey(keytab,主要是提供给应用程序进行身份认证使用),在后续任意其他服务( 如 YARN)需要去HDFS中执行增/删/改/查数据时,必须获取到对应的TGT和ST,用于本次的安 全 访问。
选择到集群内lapdServer LdapServer服务采用主备模式部署,即安装的时候,将
LdapServer服务选择到集群内任意两个节点即可。

考虑性能最优化,建议所有集群中LdapServer都与KrbServer部署 在相同主机上。
版权所有© 2015 华为技术有限公司
版权所有© 2015 华为技术有限公司 第4 页
Kerberos基本概念
票据授权票(TGT Ticket-Granting Ticket):用于应用程序与
KDC(Key Distribution Center 密钥分发中心)服务器建立
安全会话的票据,票据授权票存在有效期,当票据授权票失 效后,应用侧需要重新建立与KDC服务器的安全会话。会话 有效期为24小时,不可配置。 服务票据(ST Service Ticket):用于应用程序与服务端建立安全会
KPASSWD_PORT
LDAP_OPTION_TIMEOUT
kadmin提供密码管理的端口
版权所有© 2015 华为技术有限公司
第7 页
Ldap文件结构

在Ldap文件结构中, 目录条目都被排列在一个分层树形结构 。一般来说,这种结构反映了地域和/ 或组织界限。代表国家 的条目出现在树的顶端。它们下面是代表省和国家组织的条 目。再下面可能是代表组织单位、人、打印机、文档或者其 他任何东西,这种层级关系如图1.1 所示。