Dns Kerberos完全限定域名
我目前正在寻找一个Kerberos V域的配置,并想知道在我的环境中存在系统不在FQDN(完全限定域名)中的风险。Dns Kerberos完全限定域名,dns,kerberos,fqdn,Dns,Kerberos,Fqdn,我目前正在寻找一个Kerberos V域的配置,并想知道在我的环境中存在系统不在FQDN(完全限定域名)中的风险。 我的很多搜索都提到使用FQDN,但没有提到不使用FQDN的风险。从安全角度讲,这并不完全是一种风险,但它会在配置各种客户端和服务器时造成很多混乱 Kerberos取决于客户端和服务器是否能够就Kerberos协议之外的某个进程使用的服务名称达成一致。换句话说,如果我想对某个主机使用kerberos telnet,我需要提前知道该主机在其/etc/krb5.keytab中使用的是什么
我的很多搜索都提到使用FQDN,但没有提到不使用FQDN的风险。从安全角度讲,这并不完全是一种风险,但它会在配置各种客户端和服务器时造成很多混乱 Kerberos取决于客户端和服务器是否能够就Kerberos协议之外的某个进程使用的服务名称达成一致。换句话说,如果我想对某个主机使用kerberos telnet,我需要提前知道该主机在其/etc/krb5.keytab中使用的是什么服务主体。在kerberos协议中,客户端无法了解这一点 默认情况下,kerberos客户端通常先执行gethostbyname,然后在返回的ip地址上执行gethostbyaddr,然后使用该主机名构造服务主体。这就是你会遇到问题的地方。您可以尝试完全关闭DNS规范化(这是krb5.conf中的一个选项)
还有基于主机名的默认领域的问题,但是使用/etc/krb5.conf中的值解决这个问题要简单得多 我们的KRB5客户端基于MIT KRB5,似乎没有DNS规范化选项。。。但是,您认为[domain_realms]部分对此有帮助吗?