Kerberos 和 DNS 关系

Kerberos and DNS relation

Kerberos 主体通常定义为 role/host@REALM。这里的主机字段是如何使用的?

是否强制只有特定主机才能在 kinit 为 运行 时获得 Kerberos 票证?

我在 kadmin.local 面板中创建了一个名为 xyz/garbage@REALM 的主体,下载了密钥表并将其分发到另一台主机。我尝试使用此 keytab 执行 kinit,它成功了。

这是正确的行为吗?如何检查我的 Kerberos 是否正在使用 DNS?

行为正确,主机部分未绑定到物理主机。您可以使用密钥表漫游。

考虑到您可以在您的域名之外使用不同的 DNS 区域来实现负载平衡服务,在密钥表中共享一个 http/fancyhostname.company.io@AD.COMPANY.COM。在这种情况下,使用 domain_realm 部分或 Windows 中的 Kerberos 森林搜索顺序 (KFSO)。

DNS 开始发挥作用以发现密钥分发中心 (KDC) 并进行 TXT 查找而不是 domain_realm 内容(不适用于 Windows)。