我试图理解kerberos是如何工作的,因此遇到了一个名为keytab的文件,我相信它是用于对kdc服务器进行身份验证的。就像kerberos领域中的每个用户和服务(比如hadoop)都有一个服务主体一样,每个用户和服务都有一个keytab文件吗?另外,使用keytab的身份验证是否适用于对称密钥加密或公私密钥?
vs91vp4v1#
为了回答您的两个问题,每个用户和服务都不需要keytab文件,keytab使用对称密钥加密。基于我对如何在使用activedirectory作为目录服务的windows和非windows系统的混合网络中使用keytab的理解,我将做更多的解释。如果目录服务不是ad,ad是最流行的目录服务,那么我不太熟悉keytab的使用方式,但是我认为这些概念是完全相同的,因为它们都是基于kerberos的。同样,在企业网络中,每个用户和服务都不需要keytab文件。keytab是一种加密文件,其中包含服务的表示形式及其在目录服务中存在的长期密钥(samson称之为密码)。在activedirectory领域中,keytab对于运行在受kerberos协议保护的非windows平台上的服务特别有用。键选项卡用于对服务的入站ad用户的kerberos服务票证进行解密或者向网络上的另一个服务验证服务本身。点#2特别有用,因为正如samson所说,服务无法手动键入密码来验证自身,因此长期密钥被有效地编码到文件中。这就是为什么keytab文件本身是敏感的,需要加以保护。有关keytab的更多深入信息,您可以在这里阅读keytab的更多信息:kerberos keytab–explained。我经常回去编辑它的基础上,我看到在这个论坛这里的问题。
1条答案
按热度按时间vs91vp4v1#
为了回答您的两个问题,每个用户和服务都不需要keytab文件,keytab使用对称密钥加密。
基于我对如何在使用activedirectory作为目录服务的windows和非windows系统的混合网络中使用keytab的理解,我将做更多的解释。如果目录服务不是ad,ad是最流行的目录服务,那么我不太熟悉keytab的使用方式,但是我认为这些概念是完全相同的,因为它们都是基于kerberos的。同样,在企业网络中,每个用户和服务都不需要keytab文件。
keytab是一种加密文件,其中包含服务的表示形式及其在目录服务中存在的长期密钥(samson称之为密码)。在activedirectory领域中,keytab对于运行在受kerberos协议保护的非windows平台上的服务特别有用。
键选项卡用于
对服务的入站ad用户的kerberos服务票证进行解密
或者向网络上的另一个服务验证服务本身。
点#2特别有用,因为正如samson所说,服务无法手动键入密码来验证自身,因此长期密钥被有效地编码到文件中。这就是为什么keytab文件本身是敏感的,需要加以保护。
有关keytab的更多深入信息,您可以在这里阅读keytab的更多信息:kerberos keytab–explained。
我经常回去编辑它的基础上,我看到在这个论坛这里的问题。