我不知道 Kerberos 在安全性方面的最佳实践是什么。我想知道允许 Kerberos 服务器公开以便公共服务器可以使用单点登录是否是个好主意,或者它是否只保留给内部局域网。
此外,kerberos 服务器是 Windows Server,上面还运行其他服务。你们会怎么做?
答案1
将 Active Directory DC 暴露给互联网是一种馊主意™
安全保护严密的 Kerberos TGS 可以暴露在网络上,且责任最小。也就是说,Windows Server 2003 配置 Kerberos 的能力最小,它不适合直接暴露在网络上。