我目前正在考虑配置 Kerberos V 领域,并想知道我的环境中系统不在 FQDN(完全限定域名)中的风险。 我的很多搜索都提到使用 FQDN,但没有提到不在 FQDN 中会有什么风险。
最佳答案
从安全意义上来说,这并不完全是一个风险,但它会在配置各种客户端和服务器时造成很多困惑。
Kerberos 取决于客户端和服务器就 kerberos 协议(protocol)之外的某些进程使用的服务名称达成一致的能力。换句话说,如果我想使用 kerberos telnet 到某个主机,我需要提前知道该主机在/etc/krb5.keytab 中使用的服务主体。 kerberos 协议(protocol)中客户端无法了解这一点。
默认情况下,kerberos 客户端通常会执行 gethostbyname,然后对返回的 IP 地址执行 gethostbyaddr,然后使用该主机名构建服务主体。这就是你会遇到问题的地方。您可以尝试完全关闭 DNS 规范化(这是 krb5.conf 中的一个选项)。
还存在基于主机名的默认领域的问题,但使用/etc/krb5.conf 中的值来解决这个问题要简单得多。
关于dns - Kerberos 完全限定域名,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20353637/