我试图了解 Kerberos 是如何工作的,因此遇到了这个名为 Keytab 的文件,我相信该文件用于对 KDC 服务器进行身份验证。
就像 kerberos 领域中的每个用户和服务(比如 Hadoop)都有一个服务主体一样,每个用户和服务都有一个 keytab 文件吗?
此外,使用 keytab 的身份验证是否适用于对称密钥加密或公私钥?
问问题
46198 次
1 回答
33
要回答您的两个问题,每个用户和服务都不需要密钥表文件,密钥表使用对称密钥加密。
我将根据我对如何在使用 Active Directory 作为目录服务的 Windows 和非 Windows 系统的混合网络中使用 keytab 的理解进行更多解释。如果目录服务不是 AD 之外的东西,它是最流行的目录服务,那么我不熟悉 keytab 的使用方式,但我想这些概念会完全相同,因为它都是基于 Kerberos . 同样,在企业网络中,每个用户和服务都不需要 keytab 文件。
密钥表是加密文件,其中包含服务的表示形式及其长期密钥(Samson 称为密码),因为它存在于目录服务中。在 Active Directory 领域中,keytabs 对于在受 Kerberos 协议保护 的非 Windows 平台上运行的服务特别有用。
Keytabs 用于
- 将入站 AD 用户的 Kerberos 服务票证解密到服务
- 或向网络上的另一个服务验证服务本身。
第 2 点特别有用,因为正如 Samson 所说,服务无法手动输入其密码来验证自己,因此长期密钥有助于将长期密钥编码到文件中。这就是为什么 keytab 文件本身很敏感并且需要保护的原因。
有关 keytab 的更多深入信息,您可以在此处阅读有关 keytab 的更多信息: Kerberos Keytabs – Explained。
我经常根据在此论坛中看到的问题返回并对其进行编辑。
于 2017-05-09T12:29:54.077 回答