Что значит "добавить" принципала в файл keytab в Kerberos?
В этой документации они упоминают, что вы можете использовать ktadd команда "добавить принципала в существующую таблицу ключей". Означает ли добавление принципала, что у субъекта теперь есть доступ к этому хосту (на котором был запущен ktadd) или что хост (на котором был запущен ktadd) теперь имеет доступ к этому принципалу (host/somehost-example).
http://web.mit.edu/Kerberos/krb5-1.4/krb5-1.4.2/doc/krb5-admin/Adding-Principals-to-Keytabs.html
Это довольно простой вопрос, но он не очень понятен из документации, которую я прочитал.
2 ответа
Файл таблицы ключей (keytab) содержит пары идентификаторов принципала Kerberos и соответствующий зашифрованный ключ для этого субъекта. Он так же хорош, как пароль (и должен быть защищен как таковой), и может использоваться для аутентификации в качестве одного из именованных принципалов в сфере Kerberos.
Keytabs обычно используются в случаях, когда пароли не подходят; например, когда хост-машина или автоматизированный процесс должны аутентифицироваться для доступа к сетевому ресурсу. Они также играют важное правило во взаимной аутентификации между сервером и клиентом (особенно в направлении от сервера к клиенту).
Конкретный эффект: добавление записи в таблицу ключей с помощью ktadd означает добавление записи в таблицу ключей с принципалом и ключом шифрования для облегчения шифрования и дешифрования билетов, сгенерированных в обмен на KDC.
Абстрактный эффект: добавление принципала означает, что таблица ключей может использоваться любым контролирующим ее объектом (например, хостом) для получения билета в качестве этого принципала.
Файл keytab в основном делает ненужным добавление пароля, сохраняя доступ к добавленному участнику. По сути, хост, на котором находится keytab, теперь будет иметь доступ к запрошенному участнику.
Это руководство объясняет проблему довольно хорошо: https://kb.iu.edu/d/aumh