나는 Kerberos가 어떻게 작동하는지 이해하려고 노력하고 있으며 Keytab이라는이 파일을 통해 KDC 서버에 대한 인증에 사용된다고 생각합니다.키탭이란 무엇입니까?
kerberos 영역에있는 모든 사용자 및 서비스 (예 : Hadoop)가 서비스 보안 주체를 갖고있는 것처럼 모든 사용자 및 서비스에 키탭 파일이 있습니까?
또한 keytab을 사용하는 인증은 대칭 키 암호화 또는 공용 - 개인 키에서 작동합니까?
두 가지 질문에 대답하려면 모든 사용자와 서비스에 keytab 파일이 필요하지 않으며 keytabs는 대칭 키 암호화를 사용합니다. Active Directory를 디렉터리 서비스로 사용하는 Windows와 비 Windows 시스템의 혼합 네트워크에서 키탭을 사용하는 방법에 대한 필자의 이해를 바탕으로 좀 더 설명해 보겠습니다. 디렉토리 서비스가 가장 인기있는 디렉토리 서비스 인 AD가 아닌 다른 것이라면 키탭을 사용하는 방법에 익숙하지 않지만 Kerberos를 기반으로하는 개념이므로 완전히 똑같을 것이라고 상상합니다. . 다시 말하지만 엔터프라이즈 네트워크에서는 모든 사용자와 서비스가 키탭 파일을 필요로하지 않습니다. Keytab은 디렉토리 서비스에 존재하는 서비스 및 장기 키 (삼손이 암호라고 부르는)의 표현을 포함하는 암호화 파일입니다. Active Directory 영역에서 keytab은 Kerberos 프로토콜로 보호되는 비 Windows 플랫폼에서 을 실행하는 서비스에 특히 유용합니다. Keytab은 (1) 인바운드 AD 사용자의 Kerberos 서비스 티켓을 서비스에 대한 암호 해독 또는 (2) 서비스 자체를 네트워크의 다른 서비스에 인증하는 데 사용됩니다. Samson이 말했듯이 서비스는 수동으로 암호를 입력하여 자신을 인증 할 수 없기 때문에 장기간의 키가 유용하게 파일에 인코딩됩니다. 이것이 바로 keytab 파일 자체가 민감하고 보호되어야하는 이유입니다. keytabs에 대한 자세한 내용은 여기에서 키탭에 대한 자세한 내용을 참조하십시오 : Kerberos Keytabs – Explained. 나는이 포럼에서 여기서 볼 수있는 질문에 따라 자주 돌아가 편집합니다.
감사합니다. 그렇다면 keytab 파일의 형식은 무엇입니까? – ak0817
키탭 생성 구문이 키탭을 만드는 것처럼 걱정할 필요가 없습니다. 당신이 그것을 만든 후에 어떤 방식 으로든 키 탭을 수정하면, 내 경험상 당신이 그것을 무효화하고 더 이상 작동하지 않습니다. 필자의 기사에서는 keytab 구문과 형식에 대해 설명합니다. 방금이 게시물에서 질문 한 내용을 기반으로 몇 가지 추가 세부 정보를 편집하고 추가했습니다. 하지만 이미 두 가지 질문에 답했습니다. –
안녕하세요; 우리가 귀하의 질문에 답변 한 경우 커뮤니티에있는 다른 사람들에게 그것을 확인하는 것으로 표시하십시오. 그렇지 않으면 저희에게 알려주십시오. –
https://web.mit.edu/kerberos/krb5-1.15/doc/basic/keytab_def.html https://web.mit.edu/kerberos/krb5-1.15/doc/admin/conf_files/kdc_conf 지원되는 암호화 유형에 대한 .html # encryption-types –
사용자는 인증 할 때 자신의 암호를 입력 할 수 있습니다. 서비스는 할 수 없습니다. 따라서 암호를 파일에 유지해야합니다. Cf. https://docs.google.com/presentation/d/13ZOkGCbryhv8BgBbvJG5AwZNnkTd-hyth5x7Tj5zhp0/edit#slide=id.p27 page 15 (하둡에서 Kerberos에 익숙해 지려면 전체 프리젠 테이션을 반드시 읽어야합니다.) 세계). –