我正在尝试理解Kerberos和Kerberos领域。我想知道的是,如果你有一个公司有两个办公室和一个总部,所有公司都在不同的位置,拥有自己的本地网络,公司服务器位于总部,所有办公室的客户都需要访问总部的服务器在每个位置(领域?)或总部的单个KDC有一个KDC?
答案 0 :(得分:2)
您可以在网络的每个网段中拥有KDC,然后启用跨领域身份验证。跨领域身份验证的详细信息可以在以下网站找到。
http://www.centos.org/docs/5/html/Deployment_Guide-en-US/ch-kerberos.html。 祝你好运
答案 1 :(得分:0)
在正常情况下,您不会设置多个领域。多个领域指定可能不必要的单独的信任域。您可能决定在每个办公室中设置一个单独的KDC以减少延迟,这是可能出现物理安全问题的地方,被盗的KDC意味着您的整个用户数据库都在外面。 Microsoft使用RODC http://technet.microsoft.com/en-us/library/cc732801(v=ws.10).aspx来解决这个问题,但据我所知,麻省理工学院和Heimdal都没有提供类似的东西,在这种情况下,你可能希望将远程/分支办公室用户放在一个单独的领域,如果他们的话用户数据库被窃取它只会是他们。在这种情况下,您可能希望为远程领域至少再安装一个KDC,以便您可以快速枚举用户并更改其密钥。
当Windows AD和UNIX主机需要互操作且UNIX主机是不同领域的成员时,还有一个使用跨领域信任的地方。