
In dieser Dokumentation wird erwähnt, dass Sie den ktadd
Befehl „einen Principal zu einem vorhandenen Keytab hinzufügen“ verwenden können. Bedeutet das Hinzufügen eines Principals, dass der Principal nun Zugriff auf den Host hat (auf dem ktadd ausgeführt wurde) oder dass der Host (auf dem ktadd ausgeführt wurde) nun Zugriff auf diesen Principal hat ( host/somehost-example
).
http://web.mit.edu/Kerberos/krb5-1.4/krb5-1.4.2/doc/krb5-admin/Adding-Principals-to-Keytabs.html
Dies ist eine ziemlich einfache Frage, die aus der Dokumentation, die ich gelesen habe, jedoch nicht ganz klar hervorgeht.
Antwort1
ASchlüsseltabelle(Schlüsseltabelle)Dateienthält Paare von Kerberos-Prinzipalidentitäten und einen entsprechenden verschlüsselten Schlüssel für diesen Principal. Es ist so gut wie ein Passwort (und sollte als solches geschützt werden) und kann zur Authentifizierung als einer der benannten Principals gegenüber dem Kerberos-Bereich verwendet werden.
Keytabs werden häufig in Fällen verwendet, in denen Passwörter ungeeignet sind, z. B. wenn sich ein Hostcomputer oder ein automatisierter Prozess authentifizieren muss, um auf eine Netzwerkressource zuzugreifen. Sie spielen auch eine wichtige Rolle bei der gegenseitigen Authentifizierung zwischen einem Server und einem Client (insbesondere in der Richtung Server-Client).
Konkrete Wirkung:Das Hinzufügen eines Eintrags zu einer Keytab ktadd
bedeutet, der Schlüsseltabelle einen Eintrag mit einem Auftraggeber und einem Verschlüsselungsschlüssel hinzuzufügen, um die Ver- und Entschlüsselung von Tickets zu erleichtern, die im Austausch mit dem KDC generiert werden.
Abstrakter Effekt:Das Hinzufügen eines Auftraggebers bedeutet, dass die Keytab von jeder Entität, die sie kontrolliert (z. B. einem Host), verwendet werden kann, um als dieser Auftraggeber ein Ticket zu erhalten.
Antwort2
Eine Keytab-Datei macht das Hinzufügen eines Passworts grundsätzlich überflüssig, indem sie den Zugriff auf den hinzugefügten Principal speichert. Grundsätzlich hätte der Host, auf dem sich die Keytab-Datei befindet, nun Zugriff auf den angeforderten Principal.
Diese Anleitung erklärt das Problem ziemlich gut:https://kb.iu.edu/d/aumh