2

我们正在使用 Java Kerberos 身份验证从 Linux 连接到我们的 SQL Server 数据库。在这里,我们使用了主名称和密码在 Linux 系统上生成了一个 keytab 文件。目前连接工作正常。

但是还有一个额外的要求是使用过期密码,每 3 个月过期一次。在我们的其他应用程序中,我们使用了一个名为 Cyber​​Ark 的 API,它可以从保管库中检索密码,并且运维团队无需费心更改位于 Linux 系统上的应用程序服务器上的密码。

有没有人有在这样的环境中使用 Kerberos 的经验?我们基本上是在考虑避免每次密码过期时重新生成 keytab 文件。

4

1 回答 1

0

我认为您无法避免在密码更改或过期时重新生成密钥表文件。但是,您可以做的是让在 Linux 服务器上生成 keytab 文件变得轻松。这需要 Linux 服务器加入 Active Directory,使用 RHEL 本机工具领域或 Centrify 软件。

RHEL 工具文档在这里https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/windows_integration_guide/realmd-domain

对于 Centrify 用户,https: //community.centrify.com/t5/Centrify-Express/Replace-SSH-Keys-with-Kerberos-Keytabs/td-p/10112

于 2017-11-20T18:36:52.527 回答