目前,我正在研究使用 Kerberos 作为我们云结构的主要身份验证协议的可能性。我们可能会坚持这个想法,为了实现高可用性,最好的选择是多台虚拟机。我知道虚拟环境和 Kerberos 存在一些问题,特别是在随机性和熵方面。据我所知,Kerberos 需要直接硬件访问,但我不确定现在是否仍然如此。
在任何测试环境中,MIT Kerberos 都可以在虚拟硬件上顺利运行。问题是,这是生产环境的推荐设置吗?
答案1
Kerberos 在虚拟机中运行良好,自从虚拟机问世以来一直如此。我不知道为什么有人会说情况可能并非如此。
你可能遇到的唯一潜在并发症是需要保持虚拟机时钟同步尽管 Kerberos 的最新版本(即,非常新,只有最前沿的 Linux 发行版才发行了它)已经取消了时钟同步要求。
至于随机数,根据我的经验,Kerberos 并不是真的需要那么多加密强度高的随机数据。不足以清空熵池并开始阻止某些事情。即使如此,您也可以使用 KVM 的半虚拟化 RNG 等解决方案。
以下是虚拟化 KDC 最后一天的熵池:
这里不存在熵耗尽的真正重大问题。
不过,您自己的 KDC 可能需要很多。给它施加一些负载,看看会发生什么。