我正在尝试了解 Kerberos 和 Kerberos 领域。我想知道的是,例如,如果您有一家公司,有两个办事处和一个总部都在不同的位置,有自己的本地网络,公司服务器位于总部,所有办公室的客户都需要访问总部的服务器,您会在每个位置(领域?)有一个 KDC 还是在总部有一个 KDC?
问问题
799 次
2 回答
2
您可以在网络的每个网段中安装 KDC,然后启用跨域身份验证。跨域身份验证的详细信息可以在下面给出的站点中找到。
http://www.centos.org/docs/5/html/Deployment_Guide-en-US/ch-kerberos.html。祝你好运
于 2012-08-03T09:53:00.760 回答
0
在正常情况下,您不会设置多个领域。多个领域指定单独的信任域,这可能不是必需的。您可能决定在每个办公室都有一个单独的 KDC 以减少延迟,这是可能出现物理安全问题的地方,被盗的 KDC 意味着您的整个用户数据库都在野外。微软使用 RODC http://technet.microsoft.com/en-us/library/cc732801(v=ws.10).aspx来解决这个问题,但据我所知,麻省理工学院和海姆达尔都没有提供类似的东西,在在这种情况下,您可能希望在单独的领域中拥有远程/分支机构用户,这样,如果他们的用户数据库被盗,则只有他们。在这种情况下,您可能希望为远程领域至少再拥有一个 KDC,以便您能够快速枚举用户并更改他们的密钥。
当 Windows AD 和 UNIX 主机需要互操作并且 UNIX 主机是不同领域的成员时,还有一个使用跨领域信任的地方。
于 2014-01-05T04:43:44.810 回答