Я пытаюсь понять основные понятия Kerberos. Я читал о принципах over here, которые, как правило, выглядит следующим образом:Понимание принципов Kerberos
primary/[email protected]
Я хотел спросить, что именно является первичным, экземпляр и область. Конечно, есть определения, приведенные на приведенной выше странице и в нескольких других местах в Интернете, но может ли кто-нибудь привести пример?
Что я понимаю: Первичный потребитель (пользователь или услуга). Экземпляры - это то, что используется для контроля доступа. Первичный может быть частью нескольких экземпляров. Realm - это коллекция экземпляров? Пожалуйста, исправьте меня, если я ошибаюсь.
Если у меня есть сервер: foo.bar.com
на этом я могу иметь 2 сферы: REALM1, REALM2. Можно ли назвать их таковыми? или у меня есть только 1 область здесь FOO.BAR.COM?
Теперь я сказал 3 услуги: s1, s2, s3, которые разговаривают друг с другом. Так как kerberos включен, у каждого из них должен быть директор с собственным файлом keytab? или поскольку каждая служба разговаривает со службой друг друга, каждый файл keytab должен иметь принципы для каждой другой службы?
Спасибо за объяснение, теперь он намного лучше! Так что если для моего сервиса s1 (который работает как его собственный пользователь - скажем ** s1user **), я хочу дать ему доступ к сервису s2, как бы я это сделал? Скажем, оба они находятся в одном экземпляре. Не буду ли я создавать нового принципала для ** s1user/instance @ realm **, а затем добавить это в файл keytab s2? – rgamber
Это не было частью исходного вопроса, и это гораздо более сложная тема, и я не знаком с ее внедрением. Я выполнил поиск Google и нашел это для вас: http://docs.openstack.org/developer/keystoneauth/_sources/authentication-plugins.txt –