Red Hat Training

A Red Hat training course is available for RHEL 8

第 51 章 维护 IdM Kerberos keytab 文件

了解更多有关 Kerberos keytab 文件是什么以及身份管理(IdM)如何使用它们来允许服务使用 Kerberos 安全地进行身份验证。

您可以使用这些信息来了解您应该保护这些敏感文件的原因,并对 IdM 服务之间的通信问题进行故障排除。

如需更多信息,请参阅以下主题:

51.1. Identity Management 如何使用 Kerberos keytab 文件

Kerberos keytab 是包含 Kerberos 主体及其对应的加密密钥的文件。主机、服务、用户和脚本可以使用 keytabs 来安全地向 Kerberos 密钥分发中心(KDC)进行身份验证,而无需人为干预。

IdM 服务器中的每个 IdM 服务都有一个存储在 Kerberos 数据库中的唯一 Kerberos 主体。例如,如果 IdM 服务器 east.idm.example.comwest.idm.example.com 提供 DNS 服务,IdM 会创建 2 个唯一的 DNS Kerberos 主体来识别这些服务,它遵循命名规则 < service>/host.domain.com@REALM.COM:

  • DNS/east.idm.example.com@IDM.EXAMPLE.COM
  • DNS/west.idm.example.com@IDM.EXAMPLE.COM

IdM 在服务器上为这些服务的每一个创建一个 keytab,以存储 Kerberos 密钥的本地副本,以及它们的密钥版本号(KVNO)。例如,默认 keytab 文件 /etc/krb5.keytab 存储 主机 主体,它代表了在 Kerberos 域中的机器,用于登录身份验证。KDC 为它支持的不同加密算法生成加密密钥,如 aes256-cts-hmac-sha1-96aes128-cts-hmac-sha1-96

您可以使用 klist 命令显示 keytab 文件的内容:

[root@idmserver ~]# klist -ekt /etc/krb5.keytab
Keytab name: FILE:/etc/krb5.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   2 02/24/2022 20:28:09 host/idmserver.idm.example.com@IDM.EXAMPLE.COM (aes256-cts-hmac-sha1-96)
   2 02/24/2022 20:28:09 host/idmserver.idm.example.com@IDM.EXAMPLE.COM (aes128-cts-hmac-sha1-96)
   2 02/24/2022 20:28:09 host/idmserver.idm.example.com@IDM.EXAMPLE.COM (camellia128-cts-cmac)
   2 02/24/2022 20:28:09 host/idmserver.idm.example.com@IDM.EXAMPLE.COM (camellia256-cts-cmac)