如何为每台客户端计算机设置客户端密钥表文件以访问网络服务?我的工作示例是NFSv4,它要求每个客户端在客户端计算机(以及NFS服务器主机)上本地拥有Kerberos密钥表.
>在需要访问NFS主机的所有客户端计算机之间共享通用密钥表文件(用于NFS目的)中的相同密钥可能导致哪些不良(如果有)?
>如果从#1的结果中,我们确实需要在每个客户端的不同密钥表中使用单独的密钥,那么有效 – 更重要的是,安全 – 自动创建密钥表的方法是什么几千台机器中的每一台?我不想在每个盒子上生成和导出密钥!
解决方法
通用密钥表根本没用 – Kerberos服务原则与主机名绑定.因此通用密钥表根本不起作用.您不一定需要NFS特定密钥 – 具体取决于您使用的操作系统版本.我们可以使用HOST / full.qualified.hostname在RHEL 6上验证NFS.
所以是的,你需要在每台机器上都有一个keytab.我知道这太可怕了,但这就是事情的方式.
请记住,在Windows域中,您必须使用“域加入”过程有效地执行相同操作 – 其中一项主要操作是在Windows客户端上创建密钥表.
我们已经开始走集成域的道路 – 将我们的Linux客户端绑定到Windows AD.使用这种方法,您可以在Linux上使用net命令,例如网络广告加入,我认为是SAMBA的一部分.您可以在其中嵌入用户名和密码,并通过您已有的任何现有自动化机制运行它. (网络广告keytab创建也做….正如它在锡上说的那样.)
如果你不使用AD,那我恐怕不知道.我会想象生成密钥表存在类似的东西.
