有人可以总结一下为什么领域在 Kerberos 中是必要的以及这个概念的优点。
我正在努力将我所知道/开始理解的所有内容隔离为一些明确定义的要点以供修订。我的研究只是发现了如此深入的文章,几乎无法理解它。我明白它们是什么。我知道使用它们意味着数据是分布式的,因此在系统发生故障时具有优势,而且管理许多小领域比管理一个大领域更容易。
提前致谢
最佳答案
“领域”的明确概念允许 Kerberos 系统的扩展和联合。想象两个组 A 和 B 开始独立使用 Kerberos。每个都有一个完全独立的 Kerberos 系统或领域:连接到通用 Kerberos 身份验证服务的安全主体(用户和软件服务)的集合,这允许它们相互进行身份验证。
现在,这些团体希望一起工作;假设 B 有一个 Web 服务器,并且它希望允许对 A 的成员进行身份验证访问。这提出了一个实际问题:两个 Kerberos 系统无法互操作。为了允许身份验证,当 Web 服务器在领域 B 中已经拥有身份时,他们必须将 Web 服务器加入领域 A,或者 A 中的每个用户也必须加入 B(通过在 B 中获取新的主体名称,并使用新密码、多次身份验证并根据他们想要访问的内容在身份之间切换)。真是一团糟。
解决这个问题的方法是联合:B 组决定信任 A 对其用户的标识,而不是要求他们独立向 B 注册。这是通过向 A 提供一个 key 来实现的,该 key 允许其 Kerberos 系统直接颁发凭据在B领域很好。这称为单向领域信任(B 信任 A)。 B Web 服务器可以区分不同组中的用户,因为领域明确出现在主体名称中:user@A 与 user@B。
为了帮助扩展,Kerberos 5 自动支持分层领域信任。如果您有三个领域 FOO、A.FOO 和 B.FOO,FOO 信任 A.FOO,B.FOO 信任 FOO,则 [email protected]可以对 B.FOO 中的服务进行身份验证,而无需领域管理员在 A.FOO 和 B.FOO 之间建立直接信任:Kerberos 将自动上下跟踪信任关系。
关于security - Kerberos 领域理解,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14217697/