В настоящее время я хочу настроить область Kerberos V и задаться вопросом о том, что в моей среде, не имеющей полного доменного имени (полное доменное имя), есть системы. Многие из моих упоминаний об упоминании для использования полного доменного имени, но не упоминают, что такое риск того, что вы не являетесь полнофункциональным доменом.Kerberos Полностью квалифицированное доменное имя
Это не совсем риск в смысле безопасности, но это создаст много путаницы при настройке различных клиентов и серверов.
Kerberos зависит от способности клиента и сервера согласовать имя службы, которое будет использоваться каким-либо процессом, который находится за пределами протокола kerberos. Другими словами, если я хочу использовать telnet kerberos для какого-либо хоста, мне нужно заранее знать, какой сервисный директор использует этот хост в файле /etc/krb5.keytab. В протоколе kerberos для клиента это невозможно.
По умолчанию клиенты kerberos обычно выполняют gethostbyname, затем gethostbyaddr на возвращаемом ip-адресе и затем используют это имя хоста для построения принципала службы. Здесь вы столкнетесь с проблемами. Вы можете попробовать полностью отключить канонизацию DNS (это вариант в krb5.conf).
Существует также проблема области по умолчанию на основе имени хоста, но это намного проще решить с использованием значений в /etc/krb5.conf.
Ну, наш клиент KRB5 основан на MIT KRB5 и, похоже, не имеет опции канонизации DNS ... Однако вы считаете, что раздел [domain_realms] может помочь в этом? – burgergold