Рекомендуемое размещение для публичного Kerberos
Я настроил и включил среду, которая выполняет бесшовную аутентификацию X.509 / Kerberos для устройств iOS. Забота о безопасности заключается в том, что KDC должен быть открыт для публичного интернета, чтобы это работало. Я пытаюсь определить лучший способ смягчить это.
Я думаю о развертывании "подчиненного" KDC в облаке, который имеет только публичные сертификаты пользователя, который будет иметь VPN-подключение к контроллеру домена /kdc к корпоративной сети. Оба KDC будут находиться в разных сферах, и поскольку выданные служебные билеты будут поступать из общедоступного KDC, их нельзя использовать для совершения каких-либо вредоносных действий в корпоративном частном KDC (если они получат доступ к сети).
Будет ли это работать? Как мне заставить эти два KDC разговаривать друг с другом?
Примечание. В этом миксе также есть система единого входа SAML, которая объединяет успешную аутентификацию с другими системами.
1 ответ
Смотрите также на Security.SE:
- Kerberos аутентификация через общедоступный интернет
- Знает ли Kerberos KDC пароли пользователей в виде открытого текста?
Я не вижу, что дает вам копия KDC в частной сети. Kerberos изначально предназначался для ненадежных сетей.
Защитите его так же, как базу данных хэшированных паролей. Запустите KDC, обращенный к Интернету, с минимальным количеством служб и максимальным вниманием к входам в систему и сетевому трафику. Возможно, проведите тест на проникновение, чтобы сторонние разработчики нашли недостатки, которые вы не видите.