В настоящее время я хочу настроить область Kerberos V и задаться вопросом о том, что в моей среде, не имеющей полного доменного имени (полное доменное имя), есть системы. Многие из моих упоминаний об упоминании для использования полного доменного имени, но не упоминают, что такое риск того, что вы не являетесь полнофункциональным доменом.Kerberos Полностью квалифицированное доменное имя
ответ
Это не совсем риск в смысле безопасности, но это создаст много путаницы при настройке различных клиентов и серверов.
Kerberos зависит от способности клиента и сервера согласовать имя службы, которое будет использоваться каким-либо процессом, который находится за пределами протокола kerberos. Другими словами, если я хочу использовать telnet kerberos для какого-либо хоста, мне нужно заранее знать, какой сервисный директор использует этот хост в файле /etc/krb5.keytab. В протоколе kerberos для клиента это невозможно.
По умолчанию клиенты kerberos обычно выполняют gethostbyname, затем gethostbyaddr на возвращаемом ip-адресе и затем используют это имя хоста для построения принципала службы. Здесь вы столкнетесь с проблемами. Вы можете попробовать полностью отключить канонизацию DNS (это вариант в krb5.conf).
Существует также проблема области по умолчанию на основе имени хоста, но это намного проще решить с использованием значений в /etc/krb5.conf.
- 1. Полностью квалифицированное доменное имя и порт #
- 2. System.Collections.Generic Полностью квалифицированное имя
- 3. Полностью квалифицированное имя свойства
- 4. Полностью квалифицированное имя Spymemcached для JCache
- 5. Flex - новый ClassFactory() vs Полностью квалифицированное имя
- 6. Получить полное квалифицированное доменное имя от пользователя Запись AD
- 7. Простое имя и квалифицированное имя
- 8. Java Полностью квалифицированное имя класса, работающее от терминала
- 9. Полностью квалифицированное имя таблицы в postgreSQL select query
- 10. Полностью квалифицированное имя со знаком доллара в проекте SSDT
- 11. Невозможно получить полностью квалифицированное имя типа от элемента Javadoc
- 12. pkg_resources.resource_filename: как вернуть полностью квалифицированное имя общей библиотеки?
- 13. Квалифицированное имя функции Oracle
- 14. Получить доменное имя и доменное имя домена
- 15. Полностью квалифицированное определение статического члена не компилируется
- 16. Получить Assembly квалифицированное имя члена перечисления
- 17. Как изменить доменное имя wordpress?
- 18. Перевод домена NETBIOS в полное доменное имя (полное доменное имя)
- 19. TortoiseSVN отбрасывает полное доменное имя
- 20. Как получить доменное имя?
- 21. Как найти доменное имя
- 22. Rails - удаленное доменное имя
- 23. Как удалить доменное имя?
- 24. Apache VirtualHost - доменное имя
- 25. Подтвердить доменное имя
- 26. phpmyadmin доменное имя
- 27. кириллица доменное имя
- 28. Доменное имя regex
- 29. Пользовательское доменное имя Firebase
- 30. Подтвердить доменное имя PHP
Ну, наш клиент KRB5 основан на MIT KRB5 и, похоже, не имеет опции канонизации DNS ... Однако вы считаете, что раздел [domain_realms] может помочь в этом? – burgergold