Red Hat Training

A Red Hat training course is available for RHEL 8

41.3. Kerberos 认证指示符

Kerberos 密钥分发中心(KDC) 将身份验证指示器附加到授权票据 (TGT),基于该票据预身份验证机制,用于证明其身份:

oTP
双因素验证(密码 + 一次性密码)
radius
RADIUS 身份验证(通常用于 802.1x 身份验证)
PKINIT
PKINIT、智能卡或证书验证
hardened
强化密码(SPAKE 或 FAST)[1]

然后 KDC 将来自 TGT 的身份验证指示符附加到来自它的任何服务票据请求。KDC 强制执行基于验证指示器的策略,如服务访问控制、最长票据生命周期和最长续订期限。

41.3.1. 身份验证指示符和 IdM 服务

如果您将服务或主机与身份验证指示符相关联,则只有使用相应身份验证机制获取 TGT 的客户端才能访问它。KDC 不是应用程序或服务,在服务票据请求中检查验证指示器,并根据 Kerberos 连接策略授予或拒绝请求。

例如:要要求双因素身份验证才能连接到主机 secure.example.com,请将 otp 身份验证指示符与 host/secure.example.com@EXAMPLE.COM Kerberos 主体相关联。只有使用一次性密码从 KDC 获取初始 TGT 的用户才能登录。

如果服务或主机没有为其分配身份验证指示符,它将接受任何机制验证的票据。



[1] 通过使用单密钥验证密钥交换(SPAKE)预身份验证密钥交换(SPAKE)通过安全隧道(FAST)辅助验证和/或灵活验证,强化密码可防止暴力密码字典攻击。