CentOS 6 使用 SSSD 进行 AD 身份验证:为什么加入域后获取基于主机的票证

CentOS 6 使用 SSSD 进行 AD 身份验证:为什么加入域后获取基于主机的票证

以下两份来自 Red Hat 的文档解释了将服务器添加到 AD 域的过程。RHEL 版本不同,但步骤都适用。

第 17 页,共:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/pdf/Windows_Integration_Guide/Red_Hat_Enterprise_Linux-7-Windows_Integration_Guide-en-US.pdf

步骤 3-d,将系统添加到域,然后列出主机密钥表中的密钥以确保主机主体密钥存在:

# klist -k

本文档中的说明不要求使用主机 keytab 获取 TGT。

根据第 61 页第 7 步“https://access.redhat.com/sites/default/files/attachments/rhel-ad-integration-deployment-guidelines-v1.5.pdf",通过运行以下命令获取基于主机的 TGT:

# kinit -­k <hostname>$

我们在哪里使用这个基于主机的 TGT?

无论有没有主机 TGT,我都可以将 Linux 服务器添加到 AD 域并让用户使用他们的 AD 凭据登录。

当 AD 每 30 天轮换一次机器密码时,它在主机 keytab 的更新中起到什么作用?

另一个相关的问题是,当我列出主机密钥时,我看到仍然列出已过期(并且续订日期已过)的票:

# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: [email protected]

Valid starting     Expires            Service principal
06/10/17 12:59:41  06/10/17 22:59:41  krbtgt/[email protected]
        renew until 06/11/17 12:59:41
# date
Mon Jun 12 14:14:21 UTC 2017

klist 打印过期的主机票是否正常?klist 何时会将其从打印中删除?

谢谢

答案1

关于主机主体的 kinit —— 这只是一次健全性检查。有太多人将伪造的 keytab 放在他们的主机上,然后抱怨“sssd 坏了”,因此我们不得不进行明确检查以尽快捕获坏的 keytab。

关于 klist —— 这实际上取决于 ccache 后端是什么。使用文件时,凭证即使过期仍会保留在文件中,因此 klist 只会显示它们。例如,使用 KEYRING(RHEL-7 使用),凭证在过期后就会消失,因此不会显示任何内容。无论哪种方式都没有害处。

相关内容