Ist es möglich, ein Keytab für Benutzergruppe in AD

Question

zu verwenden Ich verwende Kerberos mit Hadoop-Umgebung, und ich verwende Keytab-Datei, um verschiedene Benutzer zu authentifizieren. Jetzt habe ich einige Benutzer zu ihnen, ich muss ihnen allen das gleiche Privileg geben.
Also habe ich eine Benutzergruppe erstellt und eine generische Keytab-Datei für diese Active Directory-Gruppe generiert, konnte aber die Keytab-Datei nicht überprüfen. Es gibt mir einen Fehler, wie unten erwähnt:

kinit: Client ‚xyz@BIGDATA.LOCAL‘ nicht in Kerberos-Datenbank gefunden, während anfängliche Anmeldeinformationen erhalten

Nun ist die Frage, gibt es die Möglichkeit eine Keytab-Datei für die Gruppe zu verwenden, im active directory oder sollte ich auf andere weise dasselbe erreichen?

Answer 1

Sie müssen nur eine Schlüsseltabelle auf dem Anwendungsserver platzieren, um die Kerberos-SSO-Authentifizierung erfolgreich durchzuführen, nicht mehrere. Wenn Benutzer auf einen Dienst zugreifen, der Kerberos-fähig ist, erhalten sie ein Kerberos-Ticket für diesen Dienst vom KDC. Die Chiffrierschlange auf dem Anwendungsserver entschlüsselt den Inhalt dieses Tickets, da in der Chiffrierschlüsseldatei eine Darstellung des Dienstes auf dem Anwendungsserver, auf den Benutzer zugreifen möchten, des vollqualifizierten Domänennamens des Anwendungsservers und des Kerberos-Bereichsnamen, der die Authentifizierung berücksichtigt, dargestellt wird Versuch und kryptographischer Hash des Dienstprinzipals im KDC. Da die Passwörter in jedem identisch sind, ist die Authentifizierung erfolgreich. Dies ist eine sehr implizite Erklärung. Der Chiffrierschlüssel kann die Mitgliedschaft in einer Benutzergruppe jedoch nicht ermitteln. Dies ist Teil der Autorisierung. Daher müssen Sie einen LDAP-Autorisierungsaufruf an den Verzeichnisserver zurückgeben, wenn Sie die Gruppenmitgliedschaft analysieren möchten.

Es gibt nur eine Ausnahme von dieser Regel, die ich kenne. In einer homogenen Microsoft Active Directory-Umgebung, in der Kerberos die primäre Authentifizierungsmethode ist (standardmäßig), werden keytabs nicht verwendet. Microsoft-Anwendungsserver können das Kerberos-Ticket nativ entschlüsseln, um zu ermitteln, wer der Benutzer und ist, das gleiche Ticket auch für Gruppeninformationen des Benutzers zu analysieren, ohne dass LDAP-Aufrufe an den Directory-Server zurückgegeben werden müssen. Das Parsen des Kerberos-Servicetickets für Gruppeninformationen lautet und liest den PAC. In einer Active Directory-Umgebung können jedoch nicht von Microsoft stammende Plattformen den PAC für die Gruppenmitgliedschaft nicht lesen, da Microsoft, soweit mir bekannt ist, nie dargelegt hat, wie sie das tun. Siehe http://searchwindowsserver.techtarget.com/feature/Advanced-Kerberos-topics-From-authentication-to-authorization.