Kerberos keytab 权限

我想我应该重新表述我的问题，从而回答它：如何创建包含仅有的HTTP SPN 的条目？

如果我使用以下命令为 Squid 创建一个新的密钥表，如鱿鱼维基

# export KRB5_KTNAME=FILE:/etc/squid/HTTP.keytab
# net ads keytab CREATE
# net ads keytab ADD HTTP
# unset KRB5_KTNAME

那么新的密钥表/etc/squid3/HTTP.keytab将包含与系统密钥表相同的 SPN 的条目加HTTP SPN 的条目：

# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- -----------------------------------------
   2 [email protected]
   2 host/[email protected]
   2 host/[email protected]

# klist -k /etc/squid3/HTTP.keytab
Keytab name: FILE:/etc/squid3/HTTP.keytab
KVNO Principal
---- -----------------------------------------
   2 [email protected]
   2 host/[email protected]
   2 host/[email protected]
   2 http/[email protected]
   2 http/[email protected]
   2 HTTP/[email protected]
   2 HTTP/[email protected]

这就是为什么我认为拒绝 Squid 对系统密钥表的读取权限是没有意义的/etc/krb5.keytab——无论如何，它在自己的密钥表中有相同的 SPN。

但是，如果我让HTTP.keytab包含仅有的HTTP 条目的不同权限将有意义：然后 Squid 只能使用它实际需要的 HTTP SPN - 但不能使用系统密钥表中可能包含的其他 SPN。可以按如下方式完成：

# net ads keytab add HTTP

这会将 HTTP SPN 添加到系统密钥表。然后，我们基于系统密钥表创建一个新的密钥表，并在此新密钥表中删除除 HTTP SPN 之外的所有内容：

# ktutil
ktutil: rkt /etc/krb5.keytab
ktutil: list
ktutil: delent <number of non-HTTP entry>

重复最后一步，直到只剩下以http或开头的条目HTTP。然后将结果写入新文件并设置权限：

ktutil: wkt /etc/squid3/HTTP.keytab
ktutil: quit
# chown root:proxy /etc/squid3/HTTP.keytab
# chmod 640 /etc/squid3/HTTP.keytab

生成的密钥表现在仅包含 HTTP SPN：

# klist -k /etc/squid3/HTTP.keytab
Keytab name: FILE:/etc/squid3/HTTP.keytab
KVNO Principal
---- -----------------------------------------
   2 http/[email protected]
   2 http/[email protected]
   2 HTTP/[email protected]
   2 HTTP/[email protected]

对我有用:-)