現在、MIT kerberos を使用してアクセスを保護するように Hadoop を構成しています。その一環として、ホスト名を持つ各サービス専用のサービス プリンシパルをいくつか作成する必要がありました。
しかし、サービスプリンシパルの使い方がわかりません。アプリケーションサーバーが他のユーザーのサービスチケットを認証するために、なぜ/どのようにそれを必要とするのですか?
アプリケーションサーバーを使用しようとしているユーザーを認証するためにアプリケーションサーバーが従う手順/ステップを取得できませんでした。
以下のブログに従って、サービス チケットを生成する一連の手順を理解しました。ただし、アプリケーション サーバーがサービス チケットを使用してユーザーを識別する方法については説明していませんでした。誰でもそのステップを説明してください。
http://www.markwilson.co.uk/blog/2005/06/kerberos-authentication-explained.htm
アプリケーション サーバーが他のユーザーのサービス チケットを認証するためにサービス プリンシパルを必要とするのはなぜですか?
サービス原則は、Kerberos レルム内のアプリケーション サーバーを表す抽象化です。ユーザー原則と同じように、サービス原則にはパスワードがあります。このパスワードの 1 つのコピーは KDC に保存され、もう 1 つのコピーはホスト上のアプリケーション サーバーの keytab と呼ばれる特別なファイルに保存されます。したがって、特定のアプリケーション サーバーのチケットは、対応するパスワードを使用して KDC によって暗号化され、アプリケーション サーバーによってのみ復号化できます。
アプリケーションサーバーは、それを使用しようとしているユーザーを認証するためにどのような手順に従いますか?
アプリケーション サーバーは、ユーザーからサービス チケットを取得し、サービス プリンシパル パスワードの独自のコピーを使用して復号化します。サービスチケットの生のコンテンツを取得するよりも。
アプリケーション サーバーがサービス チケットを使用してユーザーを識別する方法
サービス チケットの生のコンテンツにはユーザー名が含まれています。それだけです。