1. Zuhause
  2. Frage und Antwort
  3. Was genau ist ein Keytab?

Was genau ist ein Keytab?

2017-05-09 3 views
1

Ich versuche zu verstehen, wie Kerberos funktioniert und stieß auf diese Datei namens Keytab, die, glaube ich, für die Authentifizierung auf dem KDC-Server verwendet wird.Was genau ist ein Keytab?

Genau wie jeder Benutzer und Service (sagen wir Hadoop) in einem Kerberos-Realm einen Service-Principal hat jeder Benutzer und Service eine Keytab-Datei?

Funktioniert die Authentifizierung mithilfe von Keytab auch für die Kryptografie mit symmetrischen Schlüsseln oder den öffentlich-privaten Schlüssel?

Quelle

2017-05-09 ak0817

+0

https://web.mit.edu/kerberos/krb5-1.15/doc/basic/keytab_def.html plus https://web.mit.edu/kerberos/krb5-1.15/doc/admin/conf_files/kdc_conf .html # Verschlüsselungstypen für die unterstützten Verschlüsselungstypen. –

+0

Ein Benutzer kann bei der Authentifizierung sein Passwort eingeben. Ein Dienst kann nicht. Daher muss das Kennwort in einer Datei beibehalten werden. Vgl. https://docs.google.com/presentation/d/13ZOkGCbryhv8BgBbvJG5AwZNnkTd-hyth5x7Tj5zhp0/edit#slide=id.p27 Seite 15 (und die Präsentation als Ganzes ist ein Muss, wenn Sie sich mit Kerberos im Hadoop vertraut machen wollen Welt). –

Antwort

3

Um Ihre beiden Fragen zu beantworten, benötigt jeder Benutzer und Dienst keine Keytab-Datei und Keytabs verwenden symmetrische Schlüsselkryptografie. Ich werde ein bisschen mehr erklären, basierend auf meinem Verständnis darüber, wie Keytabs in gemischten Netzwerken von Windows- und Nicht-Windows-Systemen verwendet werden, die Active Directory als Verzeichnisdienst verwenden. Wenn der Verzeichnisdienst etwas anderes als AD ist, das ist der populärste Verzeichnisdienst da draußen, dann bin ich nicht so vertraut mit der Verwendung des Chiffrierschlüssels, aber ich stelle mir vor, dass die Konzepte exakt gleich wären, da alles auf Kerberos basiert . In Unternehmensnetzwerken benötigt jeder Benutzer und Dienst keine Keytab-Datei. Schlüsseltabellen sind kryptografische Dateien, die eine Darstellung des Dienstes und seines langfristigen Schlüssels enthalten (wie Samson das Kennwort genannt hat), wie er im Verzeichnisdienst vorhanden ist. In einem Active Directory-Bereich sind Chiffrierschlüssel besonders nützlich für Dienste, die auf einer Nicht-Windows-Plattform ausführen, die durch das Kerberos-Protokoll geschützt ist. Keytabs werden verwendet, um entweder (1) das Kerberos-Serviceticket eines eingehenden AD-Benutzers für den Dienst zu entschlüsseln oder (2) den Dienst selbst für einen anderen Dienst im Netzwerk zu authentifizieren. Punkt # 2 ist besonders nützlich, da, wie Samson sagte, ein Dienst sein Passwort nicht manuell eingeben kann, um sich zu authentifizieren, so dass der langfristige Schlüssel hilfreich in die Datei kodiert wird. Aus diesem Grund ist die Keytab-Datei selbst sensibel und muss geschützt werden. Weitere ausführliche Informationen zu Keytabs finden Sie hier: Kerberos Keytabs – Explained. Ich gehe häufig zurück und bearbeite es basierend auf Fragen, die ich hier in diesem Forum sehe.

Quelle

2017-05-09 12:29:54

+0

Vielen Dank! Also, was ist das Format der Keytab-Datei? – ak0817

+0

Sie brauchen sich darüber keine Gedanken zu machen, da die Keytab-Erstellsyntax die Schlüsseltabelle für Sie erstellt. Wenn Sie den Chiffrierschlüssel nach der Erstellung ändern, wird er nach meiner Erfahrung ungültig und funktioniert nicht mehr. In meinem Artikel geht es um Keytab Syntax und Format in Länge. Ich habe gerade einige Details bearbeitet und hinzugefügt, basierend auf den Fragen, die du in diesem Post gestellt hast. Aber ich habe deine zwei ursprünglichen Fragen bereits beantwortet. –

+0

Hallo; Wenn wir Ihre Frage beantwortet haben, markieren Sie sie bitte so, dass sie für andere in der Gemeinschaft verifiziert wird; andernfalls lassen Sie es uns bitte wissen. –

Verwandte Themen

 Verwandte Themen