Abbiamo molte macchine Linux (RHEL) che si autenticano con Active Directory.
È sufficiente un keytab per tutte le macchine Linux?
Abbiamo bisogno di un keytab per ogni macchina?
Quali sono i PRO e i CONS?
Quali sono i rischi dell'utilizzo di un keytab per tutte le macchine Linux?
Il punto principale di Kerberos è l'autenticazione - consente alle entità di rete di dimostrare la propria identità. Perché funzioni, ogni entità deve avere un nome univoco (in gergo Kerberos, "nome principale").
Non vorrai condividere una keytab tra tutte le macchine, perché una keytab contiene la chiave segreta di uno specifico nome principale Kerberos. Condividere una keytab significherebbe che si condivide l'identità di tale keytab tra tutte le macchine. Le macchine utilizzerebbero Kerberos per dichiarare che sono lo stesso nome macchina e Active Directory non sarà in grado di distinguere le macchine.
Considera un'analogia: provare a condividere un keytab tra più macchine è simile a provare a condividere un nome principale di Kerberos tra più utenti. Puoi chiedere a cinque persone di usare tutti lo stesso nome utente e password ... e possono accedere ... ma il sistema al quale si collegano non si renderà conto che ci sono cinque persone separate. Il sistema vedrebbe più connessioni a un singolo account, poiché tutte le connessioni utilizzano un solo nome principale Kerberos.
Leggi altre domande sui tag linux active-directory kerberos