第 49 章 管理 Kerberos 标记
Kerberos 标志对于在支持 Kerberos 的网络环境中指定身份验证机制、授权级别和安全协议至关重要。使用 Kerberos 标志,您可以确保安全访问控制,防止未经授权的访问,并改进不同 Kerberos 实现之间的互操作性。
49.1. 服务和主机的 Kerberos 标志
您可以使用各种 Kerberos 标志来定义 Kerberos 票据行为的特定方面。您可以将这些标志添加到服务和主机 Kerberos 主体。
身份管理(IdM)中的主体接受以下 Kerberos 标记:
OK_AS_DELEGATE
使用此标志指定可委托的 Kerberos 票据。
Active Directory (AD)客户端检查 Kerberos 票据上的
OK_AS_DELEGATE
标志,以确定用户凭证是否可以转发或委派给特定的服务器。AD 仅将票据授予票据(TGT)转发到配置了OK_AS_DELEGATE
的服务或主机。使用这个标志,系统安全服务守护进程(SSSD)可以将 AD 用户 TGT 添加到 IdM 客户端机器上的默认 Kerberos 凭证缓存中。REQUIRES_PRE_AUTH
使用此标志指定只允许预先验证的票据对主体进行身份验证。
设置
REQUIRES_PRE_AUTH
标志后,密钥分发中心(KDC)需要额外的身份验证:只有 TGT 已被预先验证,则 KDC 会发出带有REQUIRES_PRE_AUTH
的主体的 TGT。您可以清除
REQUIRES_PRE_AUTH
,以禁用所选服务或主机的预身份验证。这降低了 KDC 上的负载,但稍微增加对长期密钥的 brute-force 攻击的可能性。OK_TO_AUTH_AS_DELEGATE
使用
OK_TO_AUTH_AS_DELEGATE
标志指定允许该服务代表用户获取 Kerberos 票据。请注意,为了代表用户获取其他票据,该服务需要OK_AS_DELEGATE
标志以及密钥分发方允许的对应策略决定。