Kerberos和Kerberos领域

Question

我正在尝试理解Kerberos和Kerberos领域。我想知道的是，例如，如果你有一家公司，有两个办事处和一个总部，都在不同的地点，都有自己的本地网络，公司服务器位于总部，所有办事处的客户都需要访问总部的服务器，你会在每个地点(领域)有一个KDC吗？还是总部的一个KDC？

Answer 1

您可以在网络的每个网段中使用KDC，然后启用跨领域authentication.The。可以在下面给出的站点中找到跨领域身份验证的详细信息。

http://www.centos.org/docs/5/html/Deployment_Guide-en-US/ch-kerberos.html。祝好运

Answer 2

在正常情况下，您不会设置多个域。多个域指定单独的信任域，这可能不是必需的。您可以决定在每个办公室有一个单独的KDC以减少延迟，这是可能出现物理安全问题的地方，KDC被盗意味着您的整个用户数据库都在野外。微软使用RODC http://technet.microsoft.com/en-us/library/cc732801(v=ws.10).aspx来解决这个问题，然而据我所知，麻省理工学院和海姆达尔都没有提供类似的东西，在这种情况下，你可能希望将远程/分支办公室用户放在一个单独的领域中，这样如果他们的用户数据库被窃取，只会是他们。在这种情况下，您可能希望为远程领域提供至少一个以上的KDC，以便能够快速枚举用户并更改其密钥。

当Windows AD和UNIX主机需要互操作并且UNIX主机是不同领域的成员时，还有一个地方需要使用跨域信任。