응용 프로그램이 자체 보안을 설정하고 다른 사람을 인증하는 데 서비스 주체가 필요한 이유는 무엇입니까?

Question

현재 MIT Kerberos를 사용하여 액세스를 보호하도록 Hadoop을 구성하고 있습니다. 그 일환으로 호스트 이름을 사용하여 각 서비스 전용의 서비스 주체를 만들어야했습니다.

그러나 서비스 주체 사용에 대해서는 이해하지 못합니다. 애플리케이션 서버가 다른 사용자의 서비스 티켓을 인증하는 데 왜/왜 필요합니까?

응용 프로그램 서버가 사용하려고하는 사용자를 인증하기 위해 따라야 할 절차/단계를 얻을 수 없습니다.

나는 서비스 티켓을 생성하는 데 걸리는 단계를 이해하기 위해 블로그 아래의 을 추적했습니다. 그러나 은 응용 프로그램 서버가 서비스 티켓을 사용하여 사용자을 식별하는 방법을 설명하지 않았습니다. 누구든지 그 단계를 설명해 주시겠습니까?

http://www.markwilson.co.uk/blog/2005/06/kerberos-authentication-explained.htm

Answer 1

왜 응용 프로그램 서버가 다른 사용자의 서비스 티켓을 인증하는 서비스 주체를 필요로합니까?

서비스 원칙은 kerberos 영역에서 응용 프로그램 서버를 나타내는 추상화입니다. 사용자 원칙과 마찬가지로 서비스 원칙에는 암호가 있습니다. 이 암호의 사본 하나는 KDC에 저장되고 다른 하나는 응용 프로그램 서버가있는 특수 파일에 keytab이라고합니다. 따라서 특정 응용 프로그램 서버의 티켓은 해당 암호가있는 KDC에 의해 암호화되며 응용 프로그램 서버에서만 해독 할 수 있습니다.

응용 프로그램 서버가 사용하려고하는 사용자를 인증하기 위해 수행해야 할 단계는 무엇입니까?

응용 프로그램 서버는 사용자로부터 서비스 티켓을 가져 와서 자신의 서비스 원칙 암호로 해독합니다. 서비스 티켓의 원시 내용을 가져 오는 것보다.

응용 프로그램 서버가 서비스 티켓을 사용하여 사용자를 식별하는 방법은 무엇입니까?

서비스 티켓의 원시 내용에는 사용자 이름이 포함됩니다.