我已经配置并启用了一个可以对 iOS 设备进行无缝 X.509/Kerberos 身份验证的环境。安全问题是 KDC 需要暴露在公共互联网上才能正常工作。我正在尝试确定缓解此问题的最佳方法。
我正在考虑在云中部署一个仅具有用户公共证书的“从属”KDC,该证书将与域控制器/kdc 建立 VPN 连接,再连接到公司网络。两个 KDC 都位于不同的领域,并且由于颁发的服务票证来自公共 KDC,因此它们不能用于在公司私有 KDC 中执行任何恶意操作(如果它们要访问网络)。
这可行吗?我该如何让这两个 KDC 相互通信?
注意:我在这个组合中也有一个 SAML SSO 系统,它将成功的身份验证联合到其他系统。
答案1
另请参阅 Security.SE:
我看不出私有网络上的 KDC 副本能给你带来什么好处。Kerberos 从一开始就是为不受信任的网络而设计的。
像保护哈希密码数据库一样保护它。运行面向互联网的 KDC,使用最少的服务,并对登录和网络流量进行最大程度的审查。也许可以委托渗透测试,让第三方寻找你看不到的漏洞。