第 16 章 维护 IdM Kerberos keytab 文件
了解更多有关 Kerberos keytab 文件是什么,以及身份管理(IdM)如何使用它们来允许服务使用 Kerberos 安全地进行身份验证。
您可以使用这些信息来了解您应该保护这些敏感文件的原因,并对 IdM 服务之间的通信问题进行故障排除。
如需更多信息,请参阅以下主题:
16.1. Identity Management 如何使用 Kerberos keytab 文件
Kerberos keytab 是包含 Kerberos 主体及其对应加密密钥的文件。主机、服务、用户和脚本可以使用 keytab 安全地对 Kerberos 密钥分发中心 (KDC) 进行身份验证,而无需人工交互。
IdM 服务器上的每个 IdM 服务都有存储在 Kerberos 数据库中的唯一 Kerberos 主体。例如,如果 IdM 服务器 east.idm.example.com
和 west.idm.example.com
提供 DNS 服务,IdM 会创建 2 个唯一 DNS Kerberos 主体来识别这些服务,它遵循命名规则 <service>/host.domain.com@REALM.COM
:
-
DNS/east.idm.example.com@IDM.EXAMPLE.COM
-
DNS/west.idm.example.com@IDM.EXAMPLE.COM
IdM 在服务器上为这些服务创建一个 keytab,以存储 Kerberos 密钥的本地副本,以及它们的密钥版本号(KVNO)。例如,默认的 keytab 文件 /etc/krb5.keytab
存储 host
主体,这表示计算机在 Kerberos 域中,用于登录身份验证。KDC 为它支持的不同加密算法生成加密密钥,如 aes256-cts-hmac-sha1-96
和 aes128-cts-hmac-sha1-96
。
您可以使用 klist
命令显示 keytab 文件的内容:
[root@idmserver ~]# klist -ekt /etc/krb5.keytab Keytab name: FILE:/etc/krb5.keytab KVNO Timestamp Principal ---- ------------------- ------------------------------------------------------ 2 02/24/2022 20:28:09 host/idmserver.idm.example.com@IDM.EXAMPLE.COM (aes256-cts-hmac-sha1-96) 2 02/24/2022 20:28:09 host/idmserver.idm.example.com@IDM.EXAMPLE.COM (aes128-cts-hmac-sha1-96) 2 02/24/2022 20:28:09 host/idmserver.idm.example.com@IDM.EXAMPLE.COM (camellia128-cts-cmac) 2 02/24/2022 20:28:09 host/idmserver.idm.example.com@IDM.EXAMPLE.COM (camellia256-cts-cmac)