今天,我对所有 Linux 服务器(数百台)使用相同的密钥表。我正在考虑为每台计算机使用不同的密钥表,因为我认为如果我使用相同的密钥表,Active Directory 会认为我只有一台计算机,但除此之外,我没有看到使用不同密钥表的许多好处。
为什么我应该为每个针对 Active Directory 进行身份验证的 Linux 服务器使用不同的密钥表?
答案1
为每台计算机使用不同的密钥表允许您有选择地从域中删除系统。如果您的一个系统受到威胁,并且您对所有系统使用相同的密钥表,并且您想要从您的域启动恶意系统,那么您将被迫从 AD 服务器上撤销所有系统的密钥表。您的系统,而不仅仅是流氓系统的密钥表。