如何在具有相同 Kerberos 领域和相同域名的两个 KDC 之间建立信任?

如何在具有相同 Kerberos 领域和相同域名的两个 KDC 之间建立信任?

我有两个 Linux 集群位于不同的 DC,具有相同的域名和相同的领域,但 KDC 不同。我如何在这两个 KDC 之间启用信任?

答案1

领域名称必须是唯一的;如果多个 KDC 具有同名的不同领域,则客户端将无法区分它们,也不知道需要从哪个 KDC 获取票证 - 它会认为两个 KDC 都属于同一个领域,并且不会意识到存在信任。

(此外,Kerberos 信任关系是使用主体建立的krbtgt/<SrcRealm>@<DstRealm>。但是当领域名称相同时,您无法这样做,因为该主体名称已被常规 TGS 主体占用。)

有多个 KDC相同的领域,但它们的数据必须在彼此之间完全复制(相同的 krbtgt,相同的所有其他主体)——在这种情况下不需要信任。您可以使用kprop复制或使用共享 LDAP 后端。但是,如果领域需要有不同的数据,那么它们也必须有不同的名称。

相关内容