Authentication 键表的服务映射_Authentication_Kerberos

Authentication 键表的服务映射

authentication

Authentication 键表的服务映射,authentication,kerberos,Authentication,Kerberos,假设我有一个HTTP服务器，它的实例运行在机器virt01到virt09上，这些机器的CNAMEssvc01到svc09。我想向其中添加Kerberos身份验证假设：我在广告域名example.com 我的主机DNS条目是host@example.com 我的Kerberos领域是EXAMPLE.COM 从一个答案中，我认为keytab必须包含以下条目： HTTP/virt01.example.com@EXAMPLE.COM ... HTTP/virt09.example.com@EXA

假设我有一个HTTP服务器，它的实例运行在机器

virt01

到

virt09

上，这些机器的CNAMEs

svc01

到

svc09

。我想向其中添加Kerberos身份验证

假设：

我在广告域名
```
example.com
```
我的主机DNS条目是
```
host@example.com
```
我的Kerberos领域是
```
EXAMPLE.COM
```

从一个答案中，我认为keytab必须包含以下条目：

HTTP/virt01.example.com@EXAMPLE.COM
...
HTTP/virt09.example.com@EXAMPLE.COM
HTTP/svc01.example.com@EXAMPLE.COM
...
HTTP/svc09.example.com@EXAMPLE.COM

以便浏览器和其他客户端（如其他非交互式服务）能够针对服务器进行身份验证。以上是正确的吗

如果是，后续问题是-是否有一种方法可以创建一个“服务别名”，这样我就可以在keytab中只输入一个条目：

HTTP/svc-alias.example.com@EXAMPLE.COM

不知怎么的？例如，这是为了能够将服务移动到其他主机，而不必使用添加的新主机和CNAME重新生成密钥表。对于本地测试尤其重要。例如，如果在

workstation583

上进行测试，则必须为该工作站创建一个新的键表条目，这非常不方便

如果不可能，管理添加/删除主机名的最简单方法是什么？在多服务器部署的实践中如何做到这一点以使其易于管理

回答上述任何一个问题的任何资源都是值得赞赏的。

键表取决于它如何选择要使用的键。但是，这对您没有帮助，因为客户端总是要解析主机的权威记录以查找SPN。出于安全原因，明确不建议Kerberos使用别名。@Steve谢谢！“出于安全原因，明确不建议Kerberos使用别名。”这是为什么？有没有参考资料，所以我读了更多？RFC本身在这一点上很清楚，第1.3节@Steve如果你指的是这一部分“例如，不应该依靠未受保护的DNS记录将主机别名映射到服务器的主名称…”，那么我想这与我要求的不一样。我要求KDC只在内部执行主要别名。即，如果客户端请求主体

svc01

，则KDC返回

svc alias

的密钥，其中

svc alias

位于服务器的密钥选项卡中。这样，客户端可以请求任何

svcXX

，并获得服务器可以解码的票证。否则，服务器将需要在其keytab中包含所有的

svcXX

主体，我不知道如何扩展我看到的。您应该能够将名称作为SPN添加到AD中的服务帐户中。但是由于上述原因，您不能使用别名。您必须使用A记录名，如果是dev工作站，那么如果它已经加入到域中，则可能会出现问题。