Wir verwenden die Java-Kerberos-Authentifizierung, um von Linux aus eine Verbindung zu unserer SQL Server-Datenbank herzustellen. Hier hatten wir den Hauptnamen und das Passwort verwendet, um eine Keytab-Datei auf dem Linux-System zu generieren. Derzeit funktioniert die Verbindung gut.Kerberos-Authentifizierung mit ablaufenden Passwörtern
Aber es gab eine zusätzliche Anforderung, ablaufende Passwörter zu verwenden, die alle 3 Monate ablaufen. In unseren anderen Anwendungen verwenden wir eine API namens CyberArk, die das Passwort aus einem Tresor abruft und das Ops-Team muss sich nicht darum kümmern, das Passwort auf dem Anwendungsserver auf dem Linux-System zu ändern.
Hat jemand Erfahrung mit Kerberos in einer solchen Umgebung? Wir versuchen im Grunde zu vermeiden, die Keytab-Datei jedes Mal neu zu generieren, wenn das Passwort abläuft.
Sie können Skript ein Update des keytab, mit 'ktutil' auf Linux * (auf RedHat & Freunde, ein Teil der' krb5_workstation' Paket , wie 'kinit') *, und mit' ktab.exe' unter Windows * (im Lieferumfang von Oracle/Sun JRE) *, so dass Sie Ihr Passwort in AD * ändern und * das Keytab in einem Durchgang aktualisieren können. –
Das Problem, mit dem wir konfrontiert sind, ist, dass die Passwortaktualisierung in AD alle drei Monate von einem anderen System durchgeführt wird. Daher weiß unsere Linux-Umgebung grundsätzlich nichts über das Passwort-Update. Sobald das AD-Passwort für unseren Principal aktualisiert wurde, gehe ich davon aus, dass der Keytab nicht mehr gültig ist. In diesem Fall müssen wir das Ticket manuell neu generieren. – nprak
Können Sie das Admin-Team für _ "das andere System" bestechen/schikanieren/bedrohen _, damit sie automatisch ** eine neue Chiffrierschlange erstellen, wenn sie das Update ausführen? Idealerweise sollte das neue pwd * im Voraus * in der Schlüsseltabelle mit einem Inkrement in "kvno" hinzugefügt werden - https://serverfault.com/questions/699641/how-to-avoid-frequent-kvno-increases-when -uping-apache-httpd-mit-mod-auth-curb, _ "AD ist es im Allgemeinen egal, was deine KVNO ist ... werde versuchen, mit dem letzten Schlüssel zu entschlüsseln/validieren, den es für diesen Principal hat, und Wenn das nicht funktioniert, wird es mit dem vorherigen versuchen "_ –