0

Kerberos 主体通常定义为role/host@REALM. 这里的主机字段是如何使用的?

它是否强制只有特定主机才能在kinit运行时获得 Kerberos 票证?

  • 如果是,那么设置正确的 DNS 是有意义的。
  • 如果没有,主机名有什么用?

xyz/garbage@REALMkadmin.local面板中创建了一个具有名称的主体,下载了 keytab 并将其分发到不同的主机。我尝试kinit使用这个 keytab 并且它有效。

这是正确的行为吗?如何检查我的 Kerberos 是否使用 DNS?

4

1 回答 1

2

行为是正确的,并且主机部分未绑定到物理主机。您可以使用您的密钥表漫游。

考虑到您可以将域名之外的不同 DNS 区域用于负载平衡服务http/fancyhostname.company.io@AD.COMPANY.COM,在密钥表中共享一个。在这种情况下domain_realm,使用部分或 Windows 中的 Kerberos 森林搜索顺序 (KFSO)。

DNS 发挥作用来发现密钥分发中心 (KDC) 并进行 TXT 查找而不是查找domain_realm内容(不适用于 Windows)。

于 2018-01-30T16:16:11.157 回答