1

Kerberos の基本概念を理解しようとしています。私はこちらのプリンシパルについて読みました。通常は次のようになります。

primary/instance@REALM

プライマリ、インスタンス、およびレルムとは正確には何ですか。もちろん、上記のページやインターネット上の他のいくつかの場所で定義されていますが、誰かが例を挙げることができますか?

私が理解しているのはこれです:プライマリは消費者(ユーザーまたはサービス)です。インスタンスは、アクセス制御に使用されるものです。プライマリは、複数のインスタンスの一部になることができます。レルムはインスタンスのコレクションですか? 間違っている場合は修正してください。

サーバーがある場合:これにfoo.bar.com
という 2 つのレルムを持つことができます: REALM1、REALM2。これらはそのように名前を付けることができますか?または、ここでFOO.BAR.COMとして 1 つのレルムのみを使用できますか? これで、相互に通信するs1、s2、s3
という 3 つのサービスができました。kerberos が有効になっているため、それぞれに独自の keytab ファイルを持つプリンシパルが必要ですか? または、各サービスが他のサービスと通信しているため、各キータブ ファイルには他のサービスごとにプリンシパルが必要ですか?

4

1 に答える 1

6

あなたが与えた例では:primary/instance@REALM

  1. primary = サービス名 (例: ターゲット サーバーで実行されている HTTP)

  2. インスタンス = DNS に存在する必要がある FQDN (通常) - 「プライマリ」(サービス) が実行されるサーバーの FQDN になります。

  3. REALM = 通常は大文字で記述されます (必須ではありません) - これは (常にではありませんが) Kerberos 認証が行われる環境の DNS ドメイン名と一致します。これは、共通の名前空間と Kerberos データベースを共有するコンピューターの集まりです。

SPN の例: HTTP/server1.acme.com@ACME.COM。この例では、マシンの環境で DNS が正しく設定されていると仮定すると、HTTP/server1.acme.com に短縮できます。

たとえば、foo.bar.com の場合、レルムは FOO.BAR.COM になる可能性があります。しかし、そうである必要はありません。別の名前の Kerberos レルムに存在する foo.bar.com の DNS FQDN を持つことは間違いありませんが、そのレルム名は完全に修飾されている必要があり、単に「REALM1」として持つことはできません。Kerberos は DNS に大きく依存しています。完全修飾されていない Kerberos レルム名を使用することは技術的に可能だと思いますが、実際に行われたことはありません。あなたはただ大きなトラブルを求めているだけです。互いに通信する 3 つのサービスの場合、はい、それぞれに独自の SPN が必要です。Kerberos データベースで個別に線引きする必要があります。そうしないと、クライアントはどのようにそれらを見つけますか? この場合、3 つの異なるサービスには、それぞれ独自のキータブ ファイルが必要です。ただし、各キータブには、他のサービスのプリンシパルはありません。あなたが好きだったように、「プリンシパル」という言葉を単独で使用しないでください。プリンシパルは、SPN を持つ場合と持たない場合があるセキュリティ オブジェクトです。場合によります。代わりに UPN を持つユーザーなど、さまざまな種類のセキュリティ プリンシパルがあります。サービスは SPN です。コンピューターは、3 番目のタイプのカテゴリです。現在、Kerberos 実装の最も一般的なバージョンである Microsoft Active Directory 環境にいる場合は、ここで詳細を読むことをお勧めします。コンピューターは、3 番目のタイプのカテゴリです。現在、Kerberos 実装の最も一般的なバージョンである Microsoft Active Directory 環境にいる場合は、ここで詳細を読むことをお勧めします。コンピューターは、3 番目のタイプのカテゴリです。現在、Kerberos 実装の最も一般的なバージョンである Microsoft Active Directory 環境にいる場合は、ここで詳細を読むことをお勧めします。 http://social.technet.microsoft.com/wiki/contents/articles/4209.kerberos-survival-guide.aspx

于 2016-11-04T19:58:47.390 に答える