UNIX/AD kerberos 身份验证中使用的 kerberos keytab 文件是什么？

Question 1

你是如何准确证明这一点的？

如果您使用 net ads join，Samba 实际上会为计算机对象创建一个标准主体。除非明确配置，否则它只是不会将其导出到系统密钥表文件。

查看 smb.conf(5) 中的“kerberos method”参数（适用于 samba 4.0；不确定旧版本）。

如果您不需要向域中的计算机公开任何其他基于 Kerberos 的服务（例如 sshd 或 httpd），则不需要显式密钥表。如果您的目标是单点登录，则有必要创建额外的主体并将其放入系统密钥表中。

Answer

你是如何准确证明这一点的？

如果您使用 net ads join，Samba 实际上会为计算机对象创建一个标准主体。除非明确配置，否则它只是不会将其导出到系统密钥表文件。

查看 smb.conf(5) 中的“kerberos method”参数（适用于 samba 4.0；不确定旧版本）。

如果您不需要向域中的计算机公开任何其他基于 Kerberos 的服务（例如 sshd 或 httpd），则不需要显式密钥表。如果您的目标是单点登录，则有必要创建额外的主体并将其放入系统密钥表中。

Question 2

当您向域控制器注册系统时（网络广告加入），这将在 /etc/krb5.keytab 中为系统创建有效的主机原则。这将在 AD 上创建一个计算机对象。该对象跟踪 AD 端数据存储在 /etc/krb5.keytab 客户端的原理。

如果您仅将 NIS 用于 NSS 层并在 PAM 配置 /etc/pam.d/system-auth 和 /etc/pam.d/password-auth 中使用 pam_krb5，则无需将此系统注册到 AD 。

Answer

当您向域控制器注册系统时（网络广告加入），这将在 /etc/krb5.keytab 中为系统创建有效的主机原则。这将在 AD 上创建一个计算机对象。该对象跟踪 AD 端数据存储在 /etc/krb5.keytab 客户端的原理。

如果您仅将 NIS 用于 NSS 层并在 PAM 配置 /etc/pam.d/system-auth 和 /etc/pam.d/password-auth 中使用 pam_krb5，则无需将此系统注册到 AD 。

Question 3

您的系统是否需要进行系统级身份验证？例如，您想使用ssh的GSSAPI Authentication进行身份验证吗？您需要在使用它的系统上有一个密钥表。另一个示例：NFSv4 使用本地密钥表通过 Krb5 安全功能对挂载点进行身份验证。

Answer

您的系统是否需要进行系统级身份验证？例如，您想使用ssh的GSSAPI Authentication进行身份验证吗？您需要在使用它的系统上有一个密钥表。另一个示例：NFSv4 使用本地密钥表通过 Krb5 安全功能对挂载点进行身份验证。

Question 4

您是如何设置 UNIX 到 AD 的集成的？了解您的设置将有助于我们正确回答您的问题。

AD 既是 Kerberized 又是 LDAP 目录服务环境。 Kerberos 用于身份验证和加密，因此通常需要密钥表。

如果您希望在 UNIX 到 AD 集成中获得 Kerberos 的优势，而无需手动管理密钥表，请考虑使用 Centrify Expresshttp://www.centrify.com/express。

Answer

您是如何设置 UNIX 到 AD 的集成的？了解您的设置将有助于我们正确回答您的问题。

AD 既是 Kerberized 又是 LDAP 目录服务环境。 Kerberos 用于身份验证和加密，因此通常需要密钥表。

如果您希望在 UNIX 到 AD 集成中获得 Kerberos 的优势，而无需手动管理密钥表，请考虑使用 Centrify Expresshttp://www.centrify.com/express。

相关内容