我试图了解Kerberos的工作原理,因此遇到了一个名为Keytab的文件,我相信该文件用于对KDC服务器的身份验证。
就像 kerberos 领域的每个用户和服务(比如 Hadoop)都有一个服务主体一样,每个用户和服务都有一个密钥表文件吗?
此外,使用密钥表的身份验证是否适用于对称密钥加密或公钥-私钥?
要回答您的两个问题,每个用户和服务都不需要密钥表文件,密钥表使用对称密钥加密。
根据我对如何在使用Active Directory作为目录服务的Windows和非Windows系统的混合网络中使用键表的理解,我将进行更多解释。 如果目录服务不是 AD,它是目前最流行的目录服务,那么我对如何使用键表不太熟悉,但我想概念会完全相同,因为它都是基于 Kerberos 的。 同样,在企业网络中,每个用户和服务都不需要密钥表文件。
密钥表是加密文件,其中包含服务及其长期密钥(Samson 称为密码)的表示形式,因为它存在于目录服务中。 在 Active Directory 领域中,密钥表对于在受 Kerberos 协议保护的非 Windows 平台上运行的服务特别有用。
键表用于
- 将入站 AD 用户的 Kerberos 服务票证解密到该服务
- 或者向网络上的另一个服务验证服务本身。
点#2特别有用,因为正如Samson所说,服务无法手动输入其密码来验证自身,因此长期密钥有助于编码到文件中。这就是为什么密钥表文件本身是敏感的,需要保护。
有关密钥表的其他深入信息,您可以在此处阅读有关密钥表的更多信息:Kerberos 密钥表 – 解释。
我经常根据我在这个论坛上看到的问题回去编辑它。