目前我正在配置 Hadoop 以使用 MIT kerberos 来保护其访问。作为其中的一部分,我们必须使用主机名创建几个专用于每个服务的服务主体。
但是,我不明白服务主体的使用。为什么/如何应用服务器需要它来验证其他用户的服务票证?
我无法获得应用程序服务器对尝试使用它的用户进行身份验证所遵循的过程/步骤。
我按照以下博客了解生成服务票证所采取的步骤顺序。但是,它没有解释应用服务器如何使用服务票证来识别用户。谁能解释一下这一步。
http://www.markwilson.co.uk/blog/2005/06/kerberos-authentication-explained.htm
为什么应用服务器需要服务主体来验证其他用户的服务票证?
服务原理是一种抽象,它代表了 kerberos 领域中的应用程序服务器。服务原则就像用户原则一样有密码。此密码的一个副本存储在 KDC 中,另一个副本存储在带有应用程序服务器的主机上的一个特殊文件中,称为 keytab。因此,特定应用服务器的票证由 KDC 使用相应的密码进行加密,并且只能由应用服务器解密。
应用程序服务器遵循哪些步骤来验证尝试使用它的用户?
应用服务器从用户那里获取服务票证,并用它自己的服务主体密码副本对其进行解密。比它获取服务票的原始内容。
应用服务器如何使用服务票证来识别用户?
服务票的原始内容包含用户名,仅此而已。