Kerberos を理解しようとしていますが、サービス プリンシパルと混同しています。Kerberos で保護された NFS 共有にアクセスしたいとします。
次の 3 つの異なるノードがあります。
- クライアント マシン (ユーザーはtest )
- KDC (AS/TGS)
- NFS サーバー
これで、KDC にはtestというユーザーのプリンシパル データベースが含まれます。さらに、KDC にはnfs/DOMAINNAMEFROMNFSSERVERプリンシパルも含まれています。このプリンシパルは、キータブを使用して NFS サーバーとも共有されます。kerberized nfs セッションを確立するために、ユーザーテストは KDC から TGT を要求しています。
しかし、インターネット上のすべての例で、クライアント マシンにはnfs/DOMAINNAMEFROMNFSSERVERプリンシパルを含むキータブも必要であることが示されているのはなぜですか?
サービス プリンシパルは、KDC データベースに存在し、NFS サーバーに (キータブを使用して) 直接存在する必要があることを理解しています。キータブがクライアントにも存在する必要がある理由を誰かが明確にしてもらえますか?
よろしくお願いします。