Intereting Posts
可能的ipv6问题与Route53上的子域
MediaWiki在MS SQL Server上
Apache – redirect到引导
EBS上的Amazon EC2根目录默认值
运行oracle DBD :: Oacle安装得到这个“无法find或打开文件:/lib32/crt0_64.o”
Exchange 2007电子邮件地址策略
是否有可能在远程pipe理模式下观察terminal服务器会话*?
Apache2 VirtualHost IfPort?
竹codedeploy错误:没有枚举常量com.atlassian.bamboo.plugins.aws.codedeploy.DeploymentStatus.READY
使用OpenVPN通过IPv4进行IPv6连接
如何设置两台机器作为两个子网之间的“路由器”?
代理Kerberos身份validation – Kerberos服务票据问题
如何通过SSH隧道连接到MongoDB服务器
如何将单个磁盘制作为HP智能arrays的逻辑/物理磁盘
Nginx位置重写代理后不起作用
在虚拟机上生产Kerberos
目前,我正在研究使用Kerberos作为云结构的主要身份validation协议的可能性。 我们可能会遵循这个想法,为了HA,最好的select是多个虚拟机。 我知道虚拟环境和Kerberos存在一些问题,特别是关于随机性和熵的话题。 我的理解是Kerberos需要直接访问硬件,但我不确定是否仍然如此。
在任何testing环境下,MIT Kerberos都可以在虚拟硬件上运行而不会出现任何复杂情况。 问题是,这是生产环境的推荐设置吗?
Kerberos在虚拟机上工作良好,并且在虚拟机成为事物之后完成了。 我不知道为什么有人会build议,情况可能不是这样。
尽pipe非常新的Kerberos版本(即新版本,只有最新的Linux发行版已经发布),但是您可能遇到的唯一潜在的复杂情况是需要保持虚拟机时钟同步。
至于随机数,我的经验是Kerberos并不需要那么多的密码强度很强的随机数据。 不足以清空熵池并开始阻塞事物。 即使这样做,您也可以使用像KVM的半虚拟化RNG一样的解决scheme。
以下是虚拟化KDC最后一天的熵池:
没有真正重要的问题在这里用尽熵。
虽然你自己的KDC可能需要很多。 把它放在一些负载下,看看会发生什么。