说我有一个HTTP服务器,该服务器的实例在virt01至virt09的计算机上运行,这些实例的CNAME从svc01至svc09。我要向其中添加Kerberos身份验证。
假设:
example.com host@example.com EXAMPLE.COM,从诸如this之类的答案中,我认为密钥表必须包含诸如以下项:
HTTP/virt01.example.com@EXAMPLE.COM
...
HTTP/virt09.example.com@EXAMPLE.COM
HTTP/svc01.example.com@EXAMPLE.COM
...
HTTP/svc09.example.com@EXAMPLE.COM
,以便浏览器和其他客户端(例如其他非交互式服务)能够针对服务器进行身份验证。以上正确吗?
如果是,那么接下来的问题是-可以这么说吗?我可以在keytab中只输入一个条目:
HTTP/svc-alias.example.com@EXAMPLE.COM
以某种方式?例如,这是为了能够将服务移动到其他主机,而不必使用新的主机和添加的CNAME重新生成密钥表。对于本地测试尤其重要。例如。如果在workstation583上进行了测试,则必须为该工作站创建一个新的keytab条目,这确实很不方便。
如果不可能,管理添加/删除主机名的最简单方法是什么?在实践中如何在多服务器部署中做到这一点以使其易于管理?
任何回答以上任何问题的资源也将受到赞赏。