我目前正在寻找配置 Kerberos V 领域,并想知道在我的环境中拥有不在 FQDN(完全限定域名)中的系统的风险。我的很多搜索都提到使用 FQDN,但没有提到不在 FQDN 中的风险。
问问题
4073 次
1 回答
3
从安全意义上说,这并不完全是一个风险,但它会在配置各种客户端和服务器时造成很多混乱。
Kerberos 依赖于客户端和服务器就 kerberos 协议之外的某个进程要使用的服务名称达成一致的能力。换句话说,如果我想对某个主机使用 kerberos telnet,我需要提前知道该主机在 /etc/krb5.keytab 中使用的服务主体。客户端无法在 kerberos 协议中了解这一点。
默认情况下,kerberos 客户端通常执行 gethostbyname,然后在返回的 ip 地址上执行 gethostbyaddr,然后使用该主机名构造服务主体。这是你会遇到问题的地方。您可以尝试完全关闭 DNS 规范化(这是 krb5.conf 中的一个选项)。
还有基于主机名的默认领域的问题,但使用 /etc/krb5.conf 中的值解决这个问题要简单得多。
于 2013-12-03T21:51:31.287 回答