Kerberos领域理解

Question

谁能总结一下为什么在Kerberos中领域是必要的，以及这个概念的优点。

我正在努力将我所知道的/开始理解的一切都归结为一些定义明确的要点，以便修改。我的研究只是发现了这么多深度的文章，几乎不能理解它。我知道它们是什么。我知道使用它们意味着数据是分布式的，因此在发生系统故障时是有利的，而且管理许多小的领域比管理一个大的领域更容易。

提前感谢

Answer 1

“领域”的明确概念允许扩展和联合Kerberos系统。假设A组和B组开始独立使用Kerberos。每个服务器都有一个完全独立的Kerberos系统或领域:连接到公共Kerberos身份验证服务的安全主体(用户和软件服务)的集合，这允许它们彼此进行身份验证。

现在，这些组希望协同工作；假设B有一个web服务器，它希望允许对A的成员进行身份验证访问。这带来了一个实际问题:两个Kerberos系统不能互操作。为了允许身份验证，他们要么必须将web服务器加入到领域A(当它在领域B中已经有一个身份时)，或者A中的每个用户也必须加入B (通过在B中获得一个新的主体名称，使用新的密码，多次进行身份验证，并根据他们想要访问的身份在不同的身份之间切换)。真是一团糟。

解决方案是联合:组B决定信任A对其自己用户的标识，而不是要求他们独立向B注册。这是通过向A提供一个密钥来实现的，该密钥允许其Kerberos系统在B的域中直接颁发良好的凭据。这称为单向领域信任(B信任A)。B web服务器可以区分不同组中的用户，因为域显式地出现在主体名称中: user@A vs user@B。

为了在扩展方面提供帮助，Kerberos 5自动支持分层领域信任。如果您有三个领域FOO、A.FOO和B.FOO、FOO信任A.FOO和Kerberos信任FOO，那么user@A.FOO可以向B.FOO中的服务进行身份验证，而无需领域管理员在A.FOO和B.FOO之间建立直接信任:Kerberos将自动跟踪信任关系。

Answer 2

域只是安全主体的虚拟集合。SASL使用相同的概念。例如，在Windows中，域是Kerberos领域。依赖于您的情况，一个大的领域将是有意义的。链接领域需要它们之间的双向信任。对您来说意味着更多的管理开销。你有什么实际的问题？