2
有人可以總結Kerberos中爲什麼領域是必要的和概念的優勢。Kerberos領域理解
我掙扎隔離一切,我知道/開始明白到修訂一些明確的點。我的研究只是揭示具有如此深度的文章幾乎沒有意義。我明白他們是什麼。我知道使用它們意味着在發生系統故障的情況下數據的分佈非常有利,並且更容易管理許多小領域而不是一個巨大領域。
在此先感謝
A
回答
2
「領域」的顯式概念允許對Kerberos系統進行擴展和聯合。設想兩個組A和B獨立開始使用Kerberos。每個系統都有一個完全獨立的Kerberos系統或領域:連接到通用Kerberos身份驗證服務的安全主體(用戶和軟件服務)集合,它們允許彼此進行身份驗證。
現在,這些羣體想要一起工作;假設B有一個Web服務器,它希望允許對A的成員進行身份驗證訪問。這提出了一個實際問題:兩個Kerberos系統不能互操作。爲了允許身份驗證,他們必須在領域B中擁有身份時加入Web服務器,或者A中的每個用戶都必須加入B(通過在B中獲取新的主體名稱,新密碼,多次驗證和根據他們想要訪問的身份在身份之間切換)。一團糟。
對此的解決方案是聯合:組B決定信任A的自己的用戶標識,而不是要求他們獨立註冊B.這是通過給A一個允許其Kerberos系統直接發佈B領域的良好信譽。這被稱爲單向領域信任(B信任A)。 B web服務器可以區分不同組中的用戶,因爲這些領域顯式顯示在主體名稱中:user @ A vs user @ B。
爲了幫助比例方面,Kerberos 5中有分層區域信託自動支持。如果您有三個領域FOO,A.FOO和B.FOO,則FOO信任A.FOO,而B.FOO信任FOO,則[email protected]可以對B.FOO中的服務進行身份驗證,而無需領域管理員必須在A.FOO和B.FOO之間建立直接信任:Kerberos將自動上下信任關係。
0
一個領域只是一個安全主體的虛擬集合。 SASL使用相同的概念。例如,在Windows中,域是Kerberos領域。依賴你的情況,一個大領域是有道理的。鏈接領域需要它們之間的雙向信任。意味着更多的管理開銷給你。 你有什麼實際問題?
相關問題
- 1. Kerberos和Kerberos領域
- 2. Kerberos:跨領域/領域問題
- 3. 爲沒有root的python kerberos指定另一個域領域
- 4. EWS管理領域
- 5. XML解析嵌套領域
- 6. 的Python:解析與領域
- 7. 紗線集羣「無法獲取Kerberos領域」
- 8. 的Kerberos身份驗證與JAAS和多個領域
- 9. 處理領域交易
- 10. 領域:如何管理表
- 11. 領域配置管理
- 12. 處理很多領域
- 13. 清理ActiveRecord的領域
- 14. 處理跨領域問題
- 15. 領域
- 16. 領域
- 17. 領域
- 18. 使用Unity攔截解決異常處理等交叉領域
- 19. 在領域路徑中不理解關係'opportunity__c'。
- 20. 領域類型的領域遷移long
- 21. 虛擬領域和實際領域
- 22. 加入多個領域一個領域
- 23. 其他領域的setDefaultConfiguration:config的領域
- 24. 瞭解Kerberos主體
- 25. 解決貧血領域模型示例
- 26. 瞭解Django模型領域的關係
- 27. 如何解決這個領域異常?
- 28. 瞭解領域中的加密
- 29. 解析重複領域爲對象
- 30. 瞭解領域驅動設計
只是想知道爲什麼Kerberos需要領域來操作。我認爲這只是爲了滿足其允許資源/服務與一組可信的客戶共享和控制的主要目標? – Dave
如果您需要詳細的洞察力,MIT Kerberos站點鏈接到Kerberos官方郵件列表。 –
好的,非常感謝 – Dave