第 13 章 管理 Kerberos 票据策略

身份管理(IdM)中的 Kerberos 票据策略对 Kerberos 票据访问、持续时间和续订设置了限制。您可以为运行在 IdM 服务器上的密钥分发中心(KDC)配置 Kerberos 票据策略。

管理 Kerberos 票据策略时会执行以下概念和操作:

13.1. IdM KDC 的角色

身份管理的身份验证机制使用由密钥分发中心(KDC)建立的 Kerberos 基础设施。KDC 是可信赖的权威,其存储凭证信息,并确保来自 IdM 网络内实体的数据的真实性。

每个 IdM 用户、服务和主机都充当 Kerberos 客户端,由唯一的 Kerberos 主体 识别:

  • 对于用户:identifier@REALM,如 admin@EXAMPLE.COM
  • 对于服务:service/fully-qualified-hostname@REALM,如 http/server.example.com@EXAMPLE.COM
  • 对于主机: host/fully-qualified-hostname@REALM,如 host/client.example.com@EXAMPLE.COM

下图是 Kerberos 客户端、KDC 以及客户端希望与之通信的 Kerberos 应用之间通信的简化。

Kerberos KDC 通信流
  1. Kerberos 客户端通过作为 Kerberos 主体进行身份验证来向 KDC 识别自己。例如,IdM 用户执行 kinit username ,并提供其密码。
  2. KDC 会检查数据库中的主体,验证客户端,并评估 Kerberos 票据策略 来确定是否授予请求。
  3. KDC 根据适当的票据策略,签发一个具有生命周期和 验证指标 的客户端票据授予票(TGT)。
  4. 使用 TGT 时,客户端从 KDC 请求 服务票据,以便与目标主机上的 Kerberos 服务通信。
  5. KDC 检查客户端的 TGT 是否仍然有效,并根据票据策略评估服务票据请求。
  6. KDC 向客户端发出 服务票据
  7. 通过服务票据,客户端可以在目标主机上启动与服务的 加密通信。