目前我正在配置hadoop以使用mitkerberos来保护其访问。作为其中的一部分,我们必须为每个具有主机名的服务创建几个专用的服务主体。
但是,我不明白服务委托人的用法。应用服务器为什么/如何需要它来验证其他用户的服务票证?
我无法获取应用程序服务器用来验证尝试使用它的用户的过程/步骤。
我通过下面的博客了解了生成服务票证的步骤顺序。但是,它没有解释应用服务器是如何使用服务票证来识别用户的。谁能解释一下那个步骤吗。
http://www.markwilson.co.uk/blog/2005/06/kerberos-authentication-explained.htm
1条答案
按热度按时间jv4diomz1#
为什么应用服务器需要服务主体来验证其他用户的服务票证?
服务原则是在kerberos领域中表示应用服务器的抽象。服务原则就像用户原则有密码一样。此密码的一个副本存储在kdc中,另一个副本存储在主机上的applicationserver的一个特殊文件中,称为keytab。因此,特定应用服务器的票证由kdc用相应的密码加密,并且只能由应用服务器解密。
应用服务器遵循哪些步骤来验证尝试使用它的用户?
应用程序服务器从用户处获取服务票证,并使用自己的服务原则密码副本对其进行解密。而不是服务票的原始内容。
应用程序服务器如何使用服务票证来标识用户?
服务票的原始内容包含用户名,仅此而已。