Kerberos 和 DNS 关系
Kerberos and DNS relation
Kerberos 主体通常定义为 role/host@REALM
。这里的主机字段是如何使用的?
是否强制只有特定主机才能在 kinit
为 运行 时获得 Kerberos 票证?
- 如果是,那么设置正确的 DNS 是有意义的。
- 如果不是,主机名有什么用?
我在 kadmin.local
面板中创建了一个名为 xyz/garbage@REALM
的主体,下载了密钥表并将其分发到另一台主机。我尝试使用此 keytab 执行 kinit
,它成功了。
这是正确的行为吗?如何检查我的 Kerberos 是否正在使用 DNS?
行为正确,主机部分未绑定到物理主机。您可以使用密钥表漫游。
考虑到您可以在您的域名之外使用不同的 DNS 区域来实现负载平衡服务,在密钥表中共享一个 http/fancyhostname.company.io@AD.COMPANY.COM
。在这种情况下,使用 domain_realm
部分或 Windows 中的 Kerberos 森林搜索顺序 (KFSO)。
DNS 开始发挥作用以发现密钥分发中心 (KDC) 并进行 TXT 查找而不是 domain_realm
内容(不适用于 Windows)。
Kerberos 主体通常定义为 role/host@REALM
。这里的主机字段是如何使用的?
是否强制只有特定主机才能在 kinit
为 运行 时获得 Kerberos 票证?
- 如果是,那么设置正确的 DNS 是有意义的。
- 如果不是,主机名有什么用?
我在 kadmin.local
面板中创建了一个名为 xyz/garbage@REALM
的主体,下载了密钥表并将其分发到另一台主机。我尝试使用此 keytab 执行 kinit
,它成功了。
这是正确的行为吗?如何检查我的 Kerberos 是否正在使用 DNS?
行为正确,主机部分未绑定到物理主机。您可以使用密钥表漫游。
考虑到您可以在您的域名之外使用不同的 DNS 区域来实现负载平衡服务,在密钥表中共享一个 http/fancyhostname.company.io@AD.COMPANY.COM
。在这种情况下,使用 domain_realm
部分或 Windows 中的 Kerberos 森林搜索顺序 (KFSO)。
DNS 开始发挥作用以发现密钥分发中心 (KDC) 并进行 TXT 查找而不是 domain_realm
内容(不适用于 Windows)。