我目前正在寻找配置Kerberos V领域,并想知道我的环境中的系统不在FQDN(完全限定域名)中的风险。 我的很多搜索提到使用FQDN,但没有提到不在FQDN中的风险。
答案 0 :(得分:2)
在安全意义上它并不完全是一种风险,但它会在配置各种客户端和服务器时造成很大的混乱。
Kerberos依赖于客户端和服务器就某个服务名称达成一致的能力,该服务名称将由某个kerberos协议之外的进程使用。换句话说,如果我想将kerberos telnet用于某些主机,我需要提前知道主机在其中使用的服务主体/etc/krb5.keytab。在kerberos协议中,客户端无法学习这一点。
默认情况下,kerberos客户端通常执行gethostbyname,然后返回IP地址上的gethostbyaddr,然后使用该主机名构建服务主体。这是你遇到问题的地方。您可以尝试完全关闭DNS规范化(它是krb5.conf中的一个选项)。
还存在基于主机名的默认域的问题,但使用/etc/krb5.conf中的值来解决这个问题要简单得多。