2
我們正在使用Java Kerberos身份驗證從Linux連接到我們的SQL Server數據庫。在這裏,我們使用了主要名稱和密碼來在Linux系統上生成密鑰表文件。目前連接正常工作。使用過期密碼的Kerberos身份驗證
但是還有一個額外的要求是使用到期的密碼,每3個月到期。在我們的其他應用程序中,我們使用稱爲CyberArk的API從倉庫中檢索密碼,Ops團隊不需要擔心更改位於Linux系統上的應用程序服務器上的密碼。
有沒有人在這樣的環境中使用Kerberos的經驗?我們基本上是在每次密碼過期時避免重新生成密鑰表文件。
您可以編寫腳本的密鑰表的更新,以'在Linux ktutil' *(在RedHat和朋友,'krb5_workstation'包的一部分,像'kinit')*和Windows *上的'ktab.exe'(隨Oracle/Sun JRE一起提供)*,以便您可以在AD *中更改密碼並*一次更新密鑰表。 –
我們面臨的問題是,AD中的密碼更新每隔三個月由另一個系統完成。所以我們的Linux環境基本上對密碼更新一無所知。所以,一旦我們的委託人的AD密碼被更新,我認爲密鑰表將不再有效。在這種情況下,我們將不得不手動重新生成票證。 – nprak
你可以賄賂/欺負/威脅管理團隊的_「其他系統」_,以便他們**自動**創建一個新的密鑰表在他們運行更新時?理想情況下,應該在keytab中增加* pwd,並在'kvno'中增加 - 引用https://serverfault.com/questions/699641/how-to-avoid-frequent-kvno-increases-when -using-apache-httpd-with-mod-auth-curb,_「AD通常不關心你的KVNO是什麼......將嘗試使用該主體的最新密鑰進行解密/驗證,並且如果這不起作用,它會嘗試與前一個「_ –