有人可以总结为什么在Kerberos中需要领域以及概念的优点。
我正在努力将我知道/开始理解的所有内容分离到一些明确定义的修订点。我的研究只是发现了如此深度的文章几乎无法理解它。我明白它们是什么。我知道使用它们意味着数据在系统出现故障时是有利的,因此管理许多小领域而不是一个大领域更容易。
提前致谢
答案 0 :(得分:2)
“领域”的显式概念允许Kerberos系统的扩展和联合。想象一下两个组A和B,它们独立地开始使用Kerberos。每个系统都有一个完全独立的Kerberos系统或领域:连接到公共Kerberos身份验证服务的安全主体(用户和软件服务)的集合,允许它们相互进行身份验证。
现在,这些团体希望共同努力;假设B有一个Web服务器,并且它希望允许对A成员进行身份验证访问。这就产生了一个实际问题:两个Kerberos系统无法互操作。为了允许身份验证,当它们已经在域B中具有标识时,它们必须将Web服务器加入域A,或者A中的每个用户也必须加入B(通过在B中获取新的主体名称,新密码,多次验证以及根据他们想要访问的内容在身份之间切换。这是一团糟。
解决方案是联盟:B组决定信任A对自己用户的识别,而不是要求他们独立注册B.这是通过向A提供一个允许其Kerberos系统直接颁发凭证的密钥来实现的。 B的境界很好。这称为单向域信任(B信任A)。 B Web服务器可以区分不同组中的用户,因为领域显式出现在主体名称中:user @ A vs user @ B.
为了帮助扩展方面,Kerberos 5自动支持分层领域信任。如果您有三个领域FOO,A.FOO和B.FOO,FOO信任A.FOO,而B.FOO信任FOO,则user@A.FOO可以在B.FOO中对服务进行身份验证,而不需要领域管理员在A.FOO和B.FOO之间建立直接信任:Kerberos将自动跟踪信任关系。
答案 1 :(得分:0)
领域只是安全主体的虚拟集合。 SASL使用相同的概念。例如,在Windows中,域是Kerberos领域。根据你的情况,一个大的领域是有道理的。链接领域需要它们之间的双向信任。意味着更多的管理开销。 你有什么实际问题?