UNIX/AD kerberos 身份验证中使用的 kerberos keytab 文件是什么?

UNIX/AD kerberos 身份验证中使用的 kerberos keytab 文件是什么?

我已经证明 UNIX/AD Kerberos 身份验证在没有密钥表文件的情况下也能工作,所以我想知道我是否应该担心它(假设我需要为每个我想要提供 AD 身份验证服务的服务器提供一个单独的密钥表) )。

答案1

你是如何准确证明这一点的?

如果您使用 net ads join,Samba 实际上会为计算机对象创建一个标准主体。除非明确配置,否则它只是不会将其导出到系统密钥表文件。

查看 smb.conf(5) 中的“kerberos method”参数(适用于 samba 4.0;不确定旧版本)。

如果您不需要向域中的计算机公开任何其他基于 Kerberos 的服务(例如 sshd 或 httpd),则不需要显式密钥表。如果您的目标是单点登录,则有必要创建额外的主体并将其放入系统密钥表中。

答案2

当您向域控制器注册系统时(网络广告加入),这将在 /etc/krb5.keytab 中为系统创建有效的主机原则。这将在 AD 上创建一个计算机对象。该对象跟踪 AD 端数据存储在 /etc/krb5.keytab 客户端的原理。

如果您仅将 NIS 用于 NSS 层并在 PAM 配置 /etc/pam.d/system-auth 和 /etc/pam.d/password-auth 中使用 pam_krb5,则无需将此系统注册到 AD 。

答案3

您的系统是否需要进行系统级身份验证?例如,您想使用ssh的GSSAPI Authentication进行身份验证吗?您需要在使用它的系统上有一个密钥表。另一个示例:NFSv4 使用本地密钥表通过 Krb5 安全功能对挂载点进行身份验证。

答案4

您是如何设置 UNIX 到 AD 的集成的?了解您的设置将有助于我们正确回答您的问题。

AD 既是 Kerberized 又是 LDAP 目录服务环境。 Kerberos 用于身份验证和加密,因此通常需要密钥表。

如果您希望在 UNIX 到 AD 集成中获得 Kerberos 的优势,而无需手动管理密钥表,请考虑使用 Centrify Expresshttp://www.centrify.com/express

相关内容