在此文档中,他们提到您可以使用ktadd“将主体添加到现有密钥表”命令。添加主体是否意味着主体现在可以访问该主机(运行 ktadd 的主机)或主机(运行 ktadd 的主机)现在可以访问该主体(host/somehost-example)。
http://web.mit.edu/Kerberos/krb5-1.4/krb5-1.4.2/doc/krb5-admin/Adding-Principals-to-Keytabs.html
这是一个相当简单的问题,但从我读过的文档来看不是很清楚。
答案1
A密钥表(密钥表)文件包含 Kerberos 主体身份对和该主体的相应加密密钥。它与密码一样好(并且应该受到保护),可用于作为 Kerberos 域中命名主体之一进行身份验证。
Keytab 通常用于密码不适用的情况;例如,主机或自动化流程必须通过身份验证才能访问网络资源的情况。它们还在服务器和客户端之间的相互身份验证(尤其是在服务器到客户端方向)中发挥重要作用。
具体效果:使用向密钥表添加条目ktadd意味着向密钥表添加一个具有主体和加密密钥的条目,以方便与 KDC 交换生成的票证的加密和解密。
抽象效果:添加主体意味着任何控制它的实体(例如主机)都可以使用 keytab 来以该主体的身份获取票证。
答案2
密钥表文件通过存储对添加的主体的访问权限,基本上使添加密码变得没有必要。基本上,密钥表所在的主机现在可以访问请求的主体。
本指南很好地解释了这个问题:https://kb.iu.edu/d/aumh