服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Kerberos SPN FQDN对于服务器来说意义重大,还是keytab足够了?
Intereting Posts
禁用/删除Apt(-get) ICS没有默认的DHCP服务器 双服务器技术在一台计算机上 为Exchange邮箱添加邮件 使用基于pfSense的路由器监测MOS分数的理想方法 为什么我的nodejs应用程序永远不能从EC2实例的Upstart开始? HTTPSredirect失败的一些url,而不是其他人 一些Windows 7机器显示大多数打印机所需的驱动程序更新? 在删除所有文件之前,rm命令是否可以在bash脚本中完成? 在Windows 2008 / 2008R2上使用iscsicli指定iSCSI启动器的源IP 规划数据库备份时要问什么问题? 确保“一个目的”服务器的安全 为什么我的新Ubuntu 12.04无法validationVerisign SSL证书? 设置SPF和初始问题 Google Search Appliance的开源替代品?

Kerberos SPN FQDN对于服务器来说意义重大,还是keytab足够了?

我花了大部分时间作为开发人员,所以我不熟悉所有的细节…

我有一个Linux主机上运行的服务。 我想使用Kerberos将身份信息传输到服务。 我的一些客户是在连接到AD的Windows客户端,所以他们已经有了一张票。 我知道如何使用kinit在我的* nix客户端上获得一张票,并且证实我可以这样做。 我有一个/etc/krb5.conf文件,似乎在我的* nix客户端上工作

我知道我需要做以下…

  1. 请ADpipe理员为特定的SPN生成密钥表。
  2. 将我的服务器上的keytab放在服务可以find它的地方。
  3. 客户端使用票证和SPN从Kerberos基础结构中获取令牌。
  4. configuration服务以接收令牌并使用密钥表对其进行解码。

这是我的问题…

SPN通常采用service_name / FQDN @ domain_name的forms。 但是,我的客户不使用服务的主机名来构buildSPN。 而是将SPN设置在configuration文件中。 如果我可以创build单个SPN并在我的服务器的每个实例上使用它,对我来说是最简单的。

所以我会做以下…

  1. 创build一个forms为service_name / some_dummy_name @ domain_name的SPN。
  2. 生成密钥表并将其复制到svr1.mycompany.mydomain,svr2.mycompany.mydomain,…,svrX.mycompany.mydomain。
  3. 使用单个SPNconfiguration我的客户端。

我似乎认为这将起作用,因为在服务器群集时,可以在具有不同主机名的多台服务器上使用相同的SPN / keytab。

为了解决这个问题,SPN的FQDN部分对于服务器来说意义重大,还是仅仅为了让典型的客户端能够生成正确的SPN呢? 如果几个服务器具有相同的密钥表,他们是否可以接收和validation相同的令牌,或者是其他要求?

只是要强调,该服务是一个在Linux上的Java应用程序,客户端是Windows和* nix上的Java应用程序。 AD将提供Kerberos服务器基础结构。

在你勾画的情况下,它应该工作。 只要客户端都可以通过某种方式找出请求服务密钥的服务主体,就可以在多台机器上使用密钥表。 Kerberos要求连接的双方通过一些带外的方式找出服务主体。 通常这是一个基于服务器DNS名称的约定,但是kerberos中没有任何要求。

如果服务器的数量是“小的”,并且没有定期轮换密钥表的安全要求,我会说这是一个合理的解决scheme。