In kerberos sarà una chiave per un lavoro prinicpal host se il keytab contenente la chiave è memorizzato da qualche parte inaccessibile a quell'host?

1

Sto seguendo le istruzioni qui:

link

per provare a consentire a un computer Windows di autenticare gli accessi su un server FreeIPA su RHEL. Mi chiedo se questo potrebbe essere un caso di me frainteso le istruzioni nel link. Ho iniziato a trattare con Kerberos solo recentemente e mi ritrovo occasionalmente a confondermi su alcuni concetti e terminologia.

La pagina indica che il comando ipa-getkeytab deve essere eseguito sul server FreeIPA per generare un keytab (che presumo contiene una nuova chiave principale host) per una macchina Windows sottoposta a kerberizzazione. In nessun punto delle istruzioni si dice qualcosa sulla copia che ha generato il keytab sulla macchina Windows. È qui che sento che la mia comprensione limitata di Kerberos inizia a districarsi.

Quando si uniscono le macchine Linux al server FreeIPA, il comando ipa-getkeytab viene utilizzato sull'host che si unisce (client) per richiedere un keytab dal server FreeIPA. Questo mi ha portato a pensare che una macchina Windows avrebbe dovuto ottenere un keytab dal server FreeIPA in qualche modo, ma le istruzioni per unire le macchine Windows dicono solo di eseguire il comando ipa-getkeytab direttamente sul server FreeIPA.

Se il computer Windows non ha un keytab con la chiave principale host, dovrei essere corretto nel dire che non sarebbe in grado di utilizzare Kerberos per autenticare e ottenere un ticket?

Se è vero il contrario, qualcuno potrebbe spiegare come potrebbe funzionare?

    
posta m15f17 26.08.2016 - 02:29
fonte

0 risposte

Leggi altre domande sui tag