目前我正在配置Hadoop以使用MIT kerberos来保护其访问权限。作为其中的一部分,我们必须使用主机名创建几个专用于每个服务的服务主体。
但是,我不了解服务主体的使用。为什么/应用程序服务器如何需要它来验证其他用户服务票证?
我无法获得应用程序服务器遵循的过程/步骤来验证尝试使用它的用户。
我按照下面的博客了解生成服务票据所采取的步骤顺序。但是,它没有解释应用程序服务器如何使用服务票证来识别用户。任何人都可以解释这一步。
http://www.markwilson.co.uk/blog/2005/06/kerberos-authentication-explained.htm
答案 0 :(得分:1)
为什么应用服务器需要服务主体来验证其他用户服务票证?
服务原则是一个抽象,代表了kerberos领域中的应用服务器。服务原则就像用户原则一样有密码。该密码的一个副本存储在KDC中,另一个副本存放在主机上,应用程序服务器位于一个名为keytab的特殊文件中。因此,特定应用程序服务器的票证由KDC使用相应的密码加密,并且只能由应用程序服务器解密。
应用程序服务器遵循哪些步骤来验证尝试使用它的用户?
应用程序服务器从用户获取服务票证并使用它自己的服务原则密码副本对其进行解密。比得到服务票的原始内容。
应用程序服务器如何使用服务票证来识别用户?
服务票据的原始内容包含用户名,即全部。