我在 keberized 环境中自动配置 VM。创建新服务器后,它需要加入网络。为此,我需要使用登录到 kerberos 服务器kinit,然后使用net ads join.
对我来说,挑战是在哪里存储需要传递给 kinit 的主体密码以及如何安全地检索它。当然,要求是自动化程序必须是唯一可以从存储密码的地方检索密码的程序。到目前为止我考虑过的选项: 1) 我已经知道将密码存储在保险库中的选项(Hashicorp、Cyber Ark 等),但是实施/管理需要很长时间,而且价格昂贵。2)将加密的密码存储在环境变量中的另一个VM(在同一专用网络中)中,并在运行时ssh到该VM并获取密码,解密,然后将其scp到新创建的VM。
这里的任何安全专家是否看到 (2) 的问题?如果是,那些是什么?如果有的话,还有哪些其他选择?
提前致谢