安慰队列的Kerberos认证

Question

嗨，我正在尝试使用Kerberos建立到安慰队列的安全连接。我已经使用Solace开发了一个客户端应用程序。据我所知，为了实现安全连接，我们需要实现以下步骤：

1)在Solace目录中添加一个keytab

2)使用SolAdmin在Solace上执行某些配置命令

3)导入Kerberos库并在客户端应用程序上设置某些属性。

以下是我对这个话题的怀疑

1)我想知道这些是否是我们需要遵循的安全连接步骤？

2)键标签在建立安全连接中扮演什么角色？

3)如何为使用kerberos的安全连接设置用户名和密码，还是默认情况下提供？

4)除了导入kerberos库和设置一些属性之外，还有什么应该作为客户端应用程序的一部分来完成吗？

Answer 1

使用keytab是因为Solace设备作为一个“应用程序”不能使用用户/通过身份验证，所以所有的auth都在Keytab中。

Kerberos和Solace之间的逻辑交互如下：

• 当Kerberos身份验证方案用于客户端身份验证时，客户端必须首先使用Kerberos身份验证服务器(AS)进行身份验证，该服务器为指定的Kerberos用户主体授予客户一张票证授予票证(TGT)。TGT通常是作为单个登录过程的一部分获得的，例如登录到Windows域中。使用有效的TGT，客户端可以尝试使用位于客户端本地票证缓存中或已从票证授予服务(TGS)获得的服务票证登录到路由器。AS和TGS (密钥分发中心(KDC)的组件)托管在外部服务器(而不是Solace路由器)上。
• 此身份验证方案允许客户端使用GSSAPI ()中的Kerberos机制来验证其与Solace路由器的连接。要使用Solace路由器进行身份验证，客户端必须提供从KDC票证授予服务(TGS)获得的服务票证。KDC服务托管在外部服务器上。然后，客户端提供此时间戳“Kerberos”到Solace路由器的票证。如果成功验证票证，则授予客户端到消息VPN的连接。
• 对于此身份验证方案，客户端分配的客户端用户名(用于后续客户端授权)是提供给路由器的票证中的用户主体名称。

要使用Kerberos对连接到Solace路由器的客户端进行身份验证，需要进行以下配置：

客户端配置

1. 对于使用Solace消息传递API的客户端，必须使用适当的Java发行版，或者必须为使用的Solace消息传递API安装相应的Kerberos库，客户端会话必须使用Kerberos身份验证方案。

安慰路由器配置

 1. SolOS 7.0 or greater must be used.
 2. A Kerberos Keytab must be loaded on the router. 
 3. Kerberos authentication must be configured and enabled for any Message VPNs that Kerberos-authenticated clients will connect to.
 4. Optionally, a Kerberos Service Principal Name (SPN) can be assigned to the IP address for the message backbone VRF that will be
used for Kerberos authenticated clients.