我们正在使用Java Kerberos身份验证从Linux连接到我们的SQL Server数据库。这里我们使用了主页名称和密码在Linux系统上生成keytab文件。目前,连接工作正常。
但是还有另外一项要求使用过期密码,该密码每3个月过期一次。在我们的其他应用程序中,我们使用名为CyberArk的API,它从保险库中检索密码,Ops团队无需为在Linux系统上的应用程序服务器上更改密码而烦恼。
有没有人有过在这样的环境中使用Kerberos的经验?我们基本上都在考虑避免每次密码到期时重新生成密钥表文件。
答案 0 :(得分:0)
我不认为您可以避免在密码更改或过期时重新生成密钥表文件。但是,您可以做的是使在Linux服务器上生成keytab文件变得轻而易举。这需要Linux服务器使用RHEL本机工具领域或Centrify软件加入Active Directory。
对于Centrify用户,https://community.centrify.com/t5/Centrify-Express/Replace-SSH-Keys-with-Kerberos-Keytabs/td-p/10112