UNIX / AD kerberos認証に使用されるkerberos keytabファイルは何ですか?

UNIX / AD kerberos認証に使用されるkerberos keytabファイルは何ですか?

UNIX / AD Kerberos認証がキータブファイルなしで動作することを証明したので、それについて心配する必要があるかどうか疑問に思います(別のキータブにAD認証を提供するすべてのサーバーに1つが必要だとします)。

答え1

これをどのように正確に証明しますか?

Net Ads Joinを使用している場合、Sambaは実際にはコンピュータオブジェクトの標準サブジェクトを作成します。明示的に設定しない限り、システムキータブファイルにエクスポートされません。

smb.conf(5) の "kerberos method" パラメータを見てください (samba 4.0 の場合、以前のバージョンは不明)。

他のKerberosベースのサービス(sshdやhttpdなど)をドメイン内のコンピュータに公開する必要がない場合は、明示的なキータブは必要ありません。目標がシングルサインオンの場合は、追加のプリンシパルを作成して[システムキー]タブに配置する必要があります。

答え2

ドメインコントローラ(Network Ad Join)にシステムを登録すると、/ etc / krb5.keytabにシステムの有効なホストポリシーが作成されます。これにより、ADにコンピュータオブジェクトが作成されます。このオブジェクトは、AD 側のデータが /etc/krb5.keytab のクライアント側に保存される方法を追跡します。

NSS 層にのみ NIS を使用し、PAM 構成 /etc/pam.d/system-auth および /etc/pam.d/password-auth で pam_krb5 を使用する場合、このシステムを AD に登録する必要はありません。

答え3

システムにシステムレベルの認証が必要ですか?たとえば、SSH用のGSSAPI認証を使用して認証しますか?これを使用するには、システムにキータブが必要です。別の例:NFSv4はローカルキータブを使用してKrb5セキュリティでマウントポイントを認証します。

答え4

UNIXとADの統合をどのように設定しましたか?あなたの設定を理解すると、あなたの質問に正確に答えるのに役立ちます。

ADはKerberizedおよびLDAPディレクトリサービス環境です。 Kerberos は認証と暗号化に使用されるため、通常はキータブが必要です。

キータブを手動で管理しなくても、UNIXとADの統合でKerberosの利点が必要な場合は、Centrify Expressを検討してください。http://www.centrify.com/express

関連情報