我遇到了一个问题。为 test01/host01@xxxx.com 生成一个密钥表。我认为它只适用于host01。但它适用于其他主机。host01 没有意义。如何仅在 host01 上使用 keytab。非常感谢!
问问题
182 次
2 回答
1
密钥表不是特定于主机的。它们相当于密码。
Keytab 包含 SPN 和相应的密码条目。SPN 只不过是应用程序服务的名称 - 例如 HTTP/HOSTNAME:PORT
Microsoft 建议每个应用程序使用一个 keytab。
在这种情况下,如果有两个不同的应用程序在两个不同的主机上运行,相同的 keytab 将无法在两个主机上工作。(请注意 - 一个 keytab 可以有多个 SPN 条目,那么同一个 keytab 可能适用于两个应用程序)。
如果您使用的是人脸 url 和实际应用程序 url 不同的负载平衡环境,则可以使用人脸 url 作为 SPN 生成 keytab。可以在所有内部节点之间共享(复制)相同的密钥表。
于 2020-08-18T05:15:03.070 回答
0
这里几乎没有足够的信息来为您提供有意义的答案。
Keytab 被设计为可移植的密钥存储格式,因此任何服务都可以根据文件中的密钥请求或接受票证。Kerberos 成功所需要的只是拥有 KDC 知道的密钥和文件中要匹配的密钥。一旦他们匹配所有加密货币作品并弹出一张票。
因此,在不确切知道您所处的环境类型或您正在运行的代码以尝试限制每台机器的情况下,最好的说法是:这是设计使然。
于 2020-08-17T14:59:13.950 回答