Red Hat Training

A Red Hat training course is available for RHEL 8

第 49 章 管理 Kerberos 标记

Kerberos 标志对于在支持 Kerberos 的网络环境中指定身份验证机制、授权级别和安全协议至关重要。使用 Kerberos 标志,您可以确保安全访问控制,防止未经授权的访问,并改进不同 Kerberos 实现之间的互操作性。

49.1. 服务和主机的 Kerberos 标志

您可以使用各种 Kerberos 标志来定义 Kerberos 票据行为的特定方面。您可以将这些标志添加到服务和主机 Kerberos 主体。

身份管理(IdM)中的主体接受以下 Kerberos 标记:

  • OK_AS_DELEGATE

    使用此标志指定可委托的 Kerberos 票据。

    Active Directory (AD)客户端检查 Kerberos 票据上的 OK_AS_DELEGATE 标志,以确定用户凭证是否可以转发或委派给特定的服务器。AD 仅将票据授予票据(TGT)转发到配置了 OK_AS_DELEGATE 的服务或主机。使用这个标志,系统安全服务守护进程(SSSD)可以将 AD 用户 TGT 添加到 IdM 客户端机器上的默认 Kerberos 凭证缓存中。

  • REQUIRES_PRE_AUTH

    使用此标志指定只允许预先验证的票据对主体进行身份验证。

    设置 REQUIRES_PRE_AUTH 标志后,密钥分发中心(KDC)需要额外的身份验证:只有 TGT 已被预先验证,则 KDC 会发出带有 REQUIRES_PRE_AUTH 的主体的 TGT。

    您可以清除 REQUIRES_PRE_AUTH,以禁用所选服务或主机的预身份验证。这降低了 KDC 上的负载,但稍微增加对长期密钥的 brute-force 攻击的可能性。

  • OK_TO_AUTH_AS_DELEGATE

    使用 OK_TO_AUTH_AS_DELEGATE 标志指定允许该服务代表用户获取 Kerberos 票据。请注意,为了代表用户获取其他票据,该服务需要 OK_AS_DELEGATE 标志以及密钥分发方允许的对应策略决定。