2013-01-08 86 views
2

有人可以總結Kerberos中爲什麼領域是必要的和概念的優勢。Kerberos領域理解

我掙扎隔離一切,我知道/開始明白到修訂一些明確的點。我的研究只是揭示具有如此深度的文章幾乎沒有意義。我明白他們是什麼。我知道使用它們意味着在發生系統故障的情況下數據的分佈非常有利,並且更容易管理許多小領域而不是一個巨大領域。

在此先感謝

回答

2

「領域」的顯式概念允許對Kerberos系統進行擴展和聯合。設想兩個組A和B獨立開始使用Kerberos。每個系統都有一個完全獨立的Kerberos系統或領域:連接到通用Kerberos身份驗證服務的安全主體(用戶和軟件服務)集合,它們允許彼此進行身份驗證。

現在,這些羣體想要一起工作;假設B有一個Web服務器,它希望允許對A的成員進行身份驗證訪問。這提出了一個實際問題:兩個Kerberos系統不能互操作。爲了允許身份驗證,他們必須在領域B中擁有身份時加入Web服務器,或者A中的每個用戶都必須加入B(通過在B中獲取新的主體名稱,新密碼,多次驗證和根據他們想要訪問的身份在身份之間切換)。一團糟。

對此的解決方案是聯合:組B決定信任A的自己的用戶標識,而不是要求他們獨立註冊B.這是通過給A一個允許其Kerberos系統直接發佈B領域的良好信譽。這被稱爲單向領域信任(B信任A)。 B web服務器可以區分不同組中的用戶,因爲這些領域顯式顯示在主體名稱中:user @ A vs user @ B。

爲了幫助比例方面,Kerberos 5中有分層區域信託自動支持。如果您有三個領域FOO,A.FOO和B.FOO,則FOO信任A.FOO,而B.FOO信任FOO,則[email protected]可以對B.FOO中的服務進行身份驗證,而無需領域管理員必須在A.FOO和B.FOO之間建立直接信任:Kerberos將自動上下信任關係。

0

一個領域只是一個安全主體的虛擬集合。 SASL使用相同的概念。例如,在Windows中,域是Kerberos領域。依賴你的情況,一個大領域是有道理的。鏈接領域需要它們之間的雙向信任。意味着更多的管理開銷給你。 你有什麼實際問題?

+0

只是想知道爲什麼Kerberos需要領域來操作。我認爲這只是爲了滿足其允許資源/服務與一組可信的客戶共享和控制的主要目標? – Dave

+0

如果您需要詳細的洞察力,MIT Kerberos站點鏈接到Kerberos官方郵件列表。 –

+0

好的,非常感謝 – Dave