我试图了解Kerberos如何工作,因此遇到了一个名为Keytab的文件,我相信它用于对KDC服务器进行身份验证。
就像kerberos领域中的每个用户和服务(比如说Hadoop)都有服务主体一样,每个用户和服务都有一个keytab文件吗?
此外,使用keytab进行身份验证是否适用于对称密钥加密或公钥 - 私钥?
答案 0 :(得分:12)
要回答您的两个问题,每个用户和服务都不需要密钥表文件,密钥记录使用对称密钥密码术。
我将根据我对使用Active Directory作为目录服务的Windows和非Windows系统的混合网络中如何使用keytabs的理解来解释一下。如果目录服务不是AD,这是最流行的目录服务,那么我不熟悉如何使用keytab但我想这些概念完全相同,因为它都是基于Kerberos 。同样,在企业网络中,每个用户和服务都不需要密钥表文件。
Keytabs是加密文件,包含服务的表示及其长期密钥(Samson称之为密码),因为它存在于目录服务中。在Active Directory领域,keytabs对于在受Kerberos协议保护的非Windows平台上运行的服务特别有用。
Keytabs用于
第2点特别有用,因为正如Samson所说,服务无法手动输入密码来验证自身,因此长期密钥有助于编码到文件中。这就是keytab文件本身敏感并需要保护的原因。
有关keytabs的其他详细信息,您可以在此处阅读有关keytabs的更多信息:Kerberos Keytabs – Explained。
我经常根据我在此论坛中看到的问题返回并编辑它。