Kerberos HOWTO 中经常有类似这样的词:
将密钥表安全地传输(通过闪存驱动器、磁盘或加密连接)到客户端主机。
是否以 root 用户身份登录客户端主机、运行 kinit 以获取管理帐户的凭据以及从客户端运行 kadmin 还不够好?
我认为这主要是旧 MIT Kerberos 版本的遗留问题,这些版本确实存在安全问题或功能较低(kadmin在网络模式下过去无法做很多事情;你必须kadmin.local在主 KDC 上运行)。当然,海姆达尔从不为任何此类限制而烦恼,事实上,它对流程进行了一些简化和优化 ( ktutil get)。此外,MIT 的许多官方 Kerberos 文档都假设了很多我在实际使用中很少看到的偏执,例如假设任何安全凭证总是从系统手动复制到系统。
| 归档时间: |
|
| 查看次数: |
547 次 |
| 最近记录: |