Adaltas logoAdaltas

Kerberos

[Kerberos] (https://web.mit.edu/kerberos/), développé par le MIT dans les années 1980 sous le nom de Project Athena, est un protocole d'authentification unique qui permet une communication sécurisée et fiable sur un réseau non sécurisé.

Il est conçu pour authentifier les utilisateurs et les services en utilisant la cryptographie à clé secrète (chiffrement symétrique), garantissant que seules les entités autorisées peuvent accéder aux ressources et aux services. La procédure d'authentification, avec Kerberos, implique 3 entités: Un client, un server et un centre de distribution de clés (KDC). Le KDC, auquel les clients et les services font confiance, gère l'authentification. Son rôle peut être divisé en deux services :

  • AS (Authentication Service) : Délivre des tickets d'accès (TGT) pour accéder au TGS.
  • TGS (Ticket Granting Service) : Fournit des tickets d'accès pour différents services.

Le protocole opère de la manière suivante:

  • Une clé secrète est générée à partir du mot de passe d'authentification (login sur la machine), cette clé est utilisé pour décrypter les messages reçus.
  • Lorsque les utilisateurs sollicitent l'accès à un service, le Key Distribution Center (KDC) vérifie l'identité de l'utilisateur et génère (si les références sont validées) un Ticket-Granting Ticket (TGT).
  • Le TGT est renvoyé à l'utilisateur avec une clé de session (tous deux chiffrées). L'utilisateur renvoie le TGT au TGS avec le Service Principal Name (SPN) de la ressource à laquelle le client souhaite accéder.
  • Si l'utilisateur a des droits d'accès, le TGS génère un ticket de service et l'envoie à l'utilisateur. L'utilisateur envoie alors son propre message d'authentification accompagné du ticket de service au service pour pour initier la connexion. L'utilisateur et le serveur s'authentifient l'un et l'autre et, une fois l'authentification terminée, l'utilisateur a accès à la ressource.

Kerberos continue d'être largement utilisé, car il présente plusieurs avantages notamment sa maturité, sa robustesse, sa présence établie et son alignement avec les exigences des systèmes distribués modernes.

En savoir plus
Official website
Tags associés
Active Directory
Authentification
Authentification unique (SSO pour Single sign-on)
Cryptographie
FreeIPA
LDAP

Articles associés

Intégration de Spark et Hadoop dans Jupyter

Intégration de Spark et Hadoop dans Jupyter

Catégories : Adaltas Summit 2021, Infrastructure, Tech Radar | Tags : Infrastructure, Jupyter, Spark, YARN, CDP, HDP, Notebook, TDP

Depuis quelques années, Jupyter notebook s’impose comme la principale solution de notebook dans l’univers Python. Historiquement, Jupyter est l’outil de prédilection des data scientists développant…

COINTEPAS Aargan

Par COINTEPAS Aargan

1 sept. 2022

Hadoop Ozone partie 2: tutorial et démonstration des fonctionnalités

Hadoop Ozone partie 2: tutorial et démonstration des fonctionnalités

Catégories : Infrastructure | Tags : CLI, Enseignement et tutorial, REST, HDFS, Ozone, Amazon S3, Cluster

Les versions d’Hadoop Ozone sont livrées avec des fichiers docker-compose très pratique pour tester Ozone. Les instructions ci-dessous apportent des détails sur comment les utiliser. Il est aussi…

CORDONNIER Paul-Adrien

Par CORDONNIER Paul-Adrien

3 déc. 2019

Authentification Kerberos et Spnego sur Windows avec Firefox

Authentification Kerberos et Spnego sur Windows avec Firefox

Catégories : Cybersécurité | Tags : Firefox, HTTP, FreeIPA, Kerberos

Dans la mythologie grecque, Kerberos, aussi appelé Cerbère, garde les portes du monde souterrain pour empêcher les morts de partir. Il est communément décrit comme un chien à trois têtes ayant une…

WORMS David

Par WORMS David

4 nov. 2019

Multihoming avec Hadoop

Multihoming avec Hadoop

Catégories : Infrastructure | Tags : Hadoop, HDFS, Kerberos, Réseau

Le multihoming, qui implique l’association de plusieurs réseaux à un nœud, permet de gérer l’utilisation de réseaux hétérogènes dans un cluster Hadoop. Cet article est une introduction au concept de…

RUMMENS Joris

Par RUMMENS Joris

5 mars 2019

Apache Knox, c'est facile !

Apache Knox, c'est facile !

Catégories : Big Data, Cybersécurité, Adaltas Summit 2018 | Tags : Ranger, LDAP, Active Directory, REST, Knox, Kerberos

Apache Knox est le point d’entrée sécurisé d’un cluster Hadoop, mais peut-il être également le point d’entrée de mes applications REST ? Vue d’ensemble d’Apache Knox Apache Knox est une passerelle…

HATOUM Michael

Par HATOUM Michael

4 févr. 2019

Les modules natifs Node.js avec N-API

Les modules natifs Node.js avec N-API

Catégories : Adaltas Summit 2018, Front End | Tags : C++, NPM, JavaScript, Kerberos, Node.js

Que sont les modules natifs pour Node.js et comment les créer ? Les addons C/C++ sont une fonctionnalité utile et puissante du runtime Node.js. Explorons-les depuis leurs fonctionnement, jusqu’à leur…

HERMAND Xavier

Par HERMAND Xavier

12 déc. 2018

Prise de contrôle d'un cluster Hadoop avec Apache Ambari

Prise de contrôle d'un cluster Hadoop avec Apache Ambari

Catégories : Big Data, DevOps & SRE, Adaltas Summit 2018 | Tags : Ambari, Automation, iptables, Nikita, REST, Systemd, Cluster, HDP, Kerberos, Noeud, Node.js

Nous avons récemment migré un large cluster Hadoop de production installé “manuellement” vers Apache Ambari. Nous avons nommé cette opération “Ambari Takeover”. C’est un processus à risque et nous…

SCHOUKROUN Leo

Par SCHOUKROUN Leo

15 nov. 2018

Gestion des identités utilisateurs sur clusters Big Data

Gestion des identités utilisateurs sur clusters Big Data

Catégories : Cybersécurité, Gouvernance des données | Tags : LDAP, Active Directory, Ansible, FreeIPA, IAM, Kerberos

La sécurisation d’un cluster Big Data implique l’intégration ou le déploiement de services spécifiques pour stocker les utilisateurs. Certains utilisateurs sont spécifiques à un cluster lorsque d…

WORMS David

Par WORMS David

8 nov. 2018

Déploiement d'un cluster Flink sécurisé sur Kubernetes

Déploiement d'un cluster Flink sécurisé sur Kubernetes

Catégories : Big Data | Tags : Chiffrement, Flink, HDFS, Kafka, Elasticsearch, Kerberos, SSL/TLS

Le déploiement sécurisée d’une application Flink dans Kubernetes, entraine deux options. En supposant que votre Kubernetes est sécurisé, vous pouvez compter sur la plateforme sous-jacente ou utiliser…

WORMS David

Par WORMS David

8 oct. 2018

Canada - Maroc - France

Nous sommes une équipe passionnée par l'Open Source, le Big Data et les technologies associées telles que le Cloud, le Data Engineering, la Data Science le DevOps…

Nous fournissons à nos clients un savoir faire reconnu sur la manière d'utiliser les technologies pour convertir leurs cas d'usage en projets exploités en production, sur la façon de réduire les coûts et d'accélérer les livraisons de nouvelles fonctionnalités.

Si vous appréciez la qualité de nos publications, nous vous invitons à nous contacter en vue de coopérer ensemble.

Support Ukrain