第 53 章 维护 IdM Kerberos keytab 文件

Kerberos keytab 是包含 Kerberos 主体及其对应的加密密钥的文件。主机、服务、用户和脚本可以使用 keytabs 来安全地向 Kerberos 密钥分发中心(KDC)进行身份验证，而无需人为干预。

IdM 服务器中的每个 IdM 服务都有一个存储在 Kerberos 数据库中的唯一 Kerberos 主体。例如，如果 IdM 服务器 east.idm.example.com 和 west.idm.example.com 提供 DNS 服务，IdM 会创建 2 个唯一的 DNS Kerberos 主体来识别这些服务，它遵循命名规则 < service>/host.domain.com@REALM.COM:

IdM 在服务器上为这些服务的每一个创建一个 keytab，以存储 Kerberos 密钥的本地副本，以及它们的密钥版本号(KVNO)。例如，默认 keytab 文件 /etc/krb5.keytab 存储 主机 主体，它代表了在 Kerberos 域中的机器，用于登录身份验证。KDC 为它支持的不同加密算法生成加密密钥，如 aes256-cts-hmac-sha1-96 和 aes128-cts-hmac-sha1-96。

您可以使用 klist 命令显示 keytab 文件的内容：

[root@idmserver ~]# klist -ekt /etc/krb5.keytab
Keytab name: FILE:/etc/krb5.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   2 02/24/2022 20:28:09 host/idmserver.idm.example.com@IDM.EXAMPLE.COM (aes256-cts-hmac-sha1-96)
   2 02/24/2022 20:28:09 host/idmserver.idm.example.com@IDM.EXAMPLE.COM (aes128-cts-hmac-sha1-96)
   2 02/24/2022 20:28:09 host/idmserver.idm.example.com@IDM.EXAMPLE.COM (camellia128-cts-cmac)
   2 02/24/2022 20:28:09 host/idmserver.idm.example.com@IDM.EXAMPLE.COM (camellia256-cts-cmac)