Kerberos 主体通常定义为role/host@REALM 。这里如何使用主机字段?
它是否强制要求只有该特定主机才能在运行时获得 Kerberos 票证kinit?
- 如果是,那么设置正确的 DNS 是有意义的。
- 如果没有,主机名有什么用?
我在kadmin.local面板中创建了一个名为 xyz/garbage@REALM 的主体,下载了密钥表并将其分发到其他主机。我尝试使用此键表进行kinit,它起作用了。
这是正确的行为吗?如何检查我的 Kerberos 是否正在使用 DNS?
行为正确,主机部分未绑定到物理主机。您可以使用密钥表漫游。
请考虑,您可以将领域名称之外的不同 DNS 区域用于在密钥表中共享一个http/fancyhostname.company.io@AD.COMPANY.COM的负载平衡服务。在这种情况下,domain_realm在Windows中使用部分或Kerberos森林搜索顺序(KFSO(。
DNS开始发挥作用,以发现密钥分发中心(KDC(并进行TXT查找而不是domain_realm内容(不适用于Windows(。