В этой документации упоминается, что можно использовать ktaddкоманду «добавить принципала к существующему keytab». Означает ли добавление принципала, что принципал теперь имеет доступ к этому хосту (на котором был запущен ktadd) или что хост (на котором был запущен ktadd) теперь имеет доступ к этому принципалу ( host/somehost-example).
http://web.mit.edu/Kerberos/krb5-1.4/krb5-1.4.2/doc/krb5-admin/Добавление-принципов-к-Keytabs.html
Это довольно простой вопрос, но из прочитанной мной документации ответ не совсем ясен.
решение1
Атаблица ключей(клавиша таб)файлсодержит пары идентификаторов принципалов Kerberos и соответствующий зашифрованный ключ для этого принципала. Он так же хорош, как пароль (и должен быть защищен как таковой), и может использоваться для аутентификации в качестве одного из названных принципалов в области Kerberos.
Keytabs обычно используются в случаях, когда пароли не подходят; например, когда хост-машина или автоматизированный процесс должны пройти аутентификацию для доступа к сетевому ресурсу. Они также играют важную роль во взаимной аутентификации между сервером и клиентом (особенно в направлении от сервера к клиенту).
Конкретный эффект:Добавление записи в таблицу ключей с использованием ktaddозначает добавление записи в таблицу ключей с принципалом и ключом шифрования для упрощения шифрования и дешифрования билетов, сгенерированных при обмене с KDC.
Абстрактный эффект:Добавление принципала означает, что keytab может использоваться любым субъектом, контролирующим его (например, хостом), для получения билета от имени этого принципала.
решение2
Файл keytab в основном делает добавление пароля ненужным, сохраняя доступ к добавленному принципалу. В основном, хост, где присутствует keytab, теперь будет иметь доступ к запрошенному принципалу.
Это руководство довольно хорошо объясняет эту проблему:https://kb.iu.edu/d/aumh