Active directory 在外部服务器上放置密钥表安全吗

我想知道我们是否可以将内部active directory中的键表放在野外的web服务器上

如果我没有完全错的话，web服务器和active directory之间没有直接通信。SPNEGO通过客户端连接进行任何协商。 因此，这应该是可行的，但它安全吗

假设web服务器遭到黑客攻击，攻击者可以访问keytab文件。 这可能/是否会影响我们内部active directory的安全性，或者我是否“仅”有一个受损的web服务器？ keytab文件可以用来找出我们网络的一些内部结构吗

编辑：为了澄清，维基百科提供了一篇很好的文章来更好地描述这种情况。我说的是Kc-s，我们在TGS和SS之间共享一个键表

Jeran Renz的Kerberos协议，通过Wikimedia Commons抄送by-SA 4.0

---

键表文件只是SPN到键的映射。密钥是文本密钥，用于将服务验证到Active Directory中，或验证从Active Directory到服务的票证

---

因此，这相当于攻击者获得服务SPN及其密码。这到底是真的糟糕还是有点糟糕，只有你才能决定。

键表文件只是SPN到键的映射。密钥是文本密钥，用于将服务验证到Active Directory中，或验证从Active Directory到服务的票证

---

因此，这相当于攻击者获得服务SPN及其密码。这到底是真的不好还是有点不好，只有你自己来决定。

“web服务器和active directory之间没有直接通信…SPNEGO会通过客户端连接进行任何协商”>>呃。。。在nego本身之前，客户机和服务器必须从KDC获得TGT（ID令牌）——在您的情况下，KDC是AD域服务器。然后，客户端获得适当的服务票证（访问令牌）并将其提供给服务器。拥有密钥表文件的全部目的是允许服务以非交互模式对KDC进行身份验证。从更高的角度来看，Kerberos的目的是管理跨不安全网络的安全身份验证。它对保护远程主机上的凭据没有任何作用（除了确保一旦检测到攻击者，“最终”可以通过阻止他更新受损的凭据来阻止它）@SamsonScharfrichter在你第一次发表评论后，我进行了大量的RFC阅读，在那里我发现了RFC5588凭据存储扩展，这导致了我的失败。可能还不够清楚。看看维基百科，我说的是客户端服务请求，其中Ks在服务服务器（SS）和TGS之间共享。我想问一下，党卫军怎么不需要进入TGS或AS？这仍然是错误的吗。根据我对其实际工作方式的拙劣理解，AS是“您的”AD域服务器，TGS是“web服务器的”AD域服务器——域服务器之间存在信任关系（可能需要额外跳到“根”AD域服务器，但这更多的是路由请求）“web服务器和active directory之间没有直接通信。。。SPNEGO通过客户端连接进行任何协商“>>呃…在nego自身之前，客户端和服务器必须从KDC获得TGT（ID令牌）——在您的情况下，KDC是AD域服务器。然后客户端获得适当的服务票证（访问令牌）并将其提供给服务器。拥有密钥表文件的全部目的是允许服务以非交互模式对KDC进行身份验证。从更高的角度来看，Kerberos的目的是管理跨不安全网络的安全身份验证。它对保护远程主机上的凭据没有任何作用（除非确保一旦检测到攻击者，就可以通过阻止其更新受损的creds来“最终”阻止该攻击者）@SamsonScharfrichter在你第一次发表评论后，我进行了大量的RFC阅读，在那里我发现了RFC5588凭据存储扩展，这导致了我。可能还不够清楚。查看wikipedia，我谈论的是客户端服务请求，其中Ks在服务服务器（SS）之间共享还有TGS。我想问一下，SS是否不需要访问TGS或AS？这仍然是错误的吗？Duh。根据我对其实际工作方式的拙劣理解，AS是“您的”AD域服务器，TGS是“web服务器的”AD域服务器——域服务器之间存在信任关系（可能需要额外跳到“根目录”）“AD域服务器，但更多的是路由请求）