是否可以在 AD 中为用户组使用密钥表
Is it possible to use a keytab for group of user in AD
我在 Hadoop 环境中使用 kerberos,我使用 keytab 文件为不同的用户提供身份验证。现在我有一些用户给他们,我必须给他们同样的权限。
所以我创建了一个用户组并为该活动目录组生成了一个通用密钥表文件,但未能验证该密钥表文件。它给我一个错误,如下所述:
kinit: Client 'xyz@BIGDATA.LOCAL' not found in Kerberos database while getting initial credentials
现在的问题是,是否可以在活动目录中为组使用密钥表文件,或者我是否必须使用任何其他方式来实现同样的目的?
您只需在应用服务器上放置一个keytab即可成功进行Kerberos SSO认证,不需要多个。当用户访问启用了 Kerberos 的服务时,他们会从 KDC 获得该服务的 Kerberos 票证。应用服务器上的 keytab 解密该票据的内容,因为在 keytab 中是用户想要访问的应用服务器上的服务 运行 的表示,应用服务器的 FQDN 和 Kerberos 域名将接受 KDC 中服务主体的身份验证尝试和加密哈希。由于两者的密码相同,因此认证成功。这是一个非常含蓄的解释。然而,keytab 将无法确定用户组成员身份。这是授权的一部分,因此如果您想要解析组成员身份,您需要向目录服务器发出 LDAP 授权回调。
据我所知,这条规则只有一个例外。在 Kerberos 是主要身份验证方法(默认情况下)的同源 Microsoft-only Active Directory 环境中,不使用密钥表。 Microsoft 应用程序服务器可以在没有密钥表的情况下本地解密 Kerberos 票据以确定用户是谁 并且 也可以解析同一张票据以获取用户的组信息,而无需 LDAP 回调目录服务器。解析 Kerberos 服务票证以获取组信息称为 读取 PAC。然而,在 AD 环境中,非 Microsoft 平台不能 "read the PAC" 组成员资格,因为据我所知,Microsoft 从未公开过他们是如何做到这一点的。参见 http://searchwindowsserver.techtarget.com/feature/Advanced-Kerberos-topics-From-authentication-to-authorization。
我在 Hadoop 环境中使用 kerberos,我使用 keytab 文件为不同的用户提供身份验证。现在我有一些用户给他们,我必须给他们同样的权限。
所以我创建了一个用户组并为该活动目录组生成了一个通用密钥表文件,但未能验证该密钥表文件。它给我一个错误,如下所述:
kinit: Client 'xyz@BIGDATA.LOCAL' not found in Kerberos database while getting initial credentials
现在的问题是,是否可以在活动目录中为组使用密钥表文件,或者我是否必须使用任何其他方式来实现同样的目的?
您只需在应用服务器上放置一个keytab即可成功进行Kerberos SSO认证,不需要多个。当用户访问启用了 Kerberos 的服务时,他们会从 KDC 获得该服务的 Kerberos 票证。应用服务器上的 keytab 解密该票据的内容,因为在 keytab 中是用户想要访问的应用服务器上的服务 运行 的表示,应用服务器的 FQDN 和 Kerberos 域名将接受 KDC 中服务主体的身份验证尝试和加密哈希。由于两者的密码相同,因此认证成功。这是一个非常含蓄的解释。然而,keytab 将无法确定用户组成员身份。这是授权的一部分,因此如果您想要解析组成员身份,您需要向目录服务器发出 LDAP 授权回调。
据我所知,这条规则只有一个例外。在 Kerberos 是主要身份验证方法(默认情况下)的同源 Microsoft-only Active Directory 环境中,不使用密钥表。 Microsoft 应用程序服务器可以在没有密钥表的情况下本地解密 Kerberos 票据以确定用户是谁 并且 也可以解析同一张票据以获取用户的组信息,而无需 LDAP 回调目录服务器。解析 Kerberos 服务票证以获取组信息称为 读取 PAC。然而,在 AD 环境中,非 Microsoft 平台不能 "read the PAC" 组成员资格,因为据我所知,Microsoft 从未公开过他们是如何做到这一点的。参见 http://searchwindowsserver.techtarget.com/feature/Advanced-Kerberos-topics-From-authentication-to-authorization。