两个具有相同kerberos域的簇

Question

我有两个安巴里集群，叫做app集群和数据集群。两者都由kerberos保护。两个集群都有自己的KDC服务器。但是相同的领域名称(由管理团队配置)。

现在，我希望从app集群访问数据集群的名称节点。但是app集群没有数据集群的名称、节点主体。所以kerberos抛出错误就像

TGS请求结果:在Kerberos数据库中找不到-1765328377/Server /machine@王国。

我检查了跨域身份验证。它说两个领域的名称应该是不同的。

如何使用两个具有相同领域名称的不同主kdc服务器实现跨集群kerberos身份验证？

Answer 1

当有两个具有相同域名的KDC主机时，我看到的问题是，每个主服务器有两个不同的kerberos数据库，这意味着它们有不同的数据，使用不同的主密钥加密，使用不同的salt，甚至可能使用不同的加密类型(例如，安装在不同的发行版中)。

例如，可以通过在两个主程序上执行以下命令来确保数据是不同的，然后比较输出：

kdb5_util tabdump keydata

跨领域身份验证的正确情况是，当有两个或至少两个KDC主程序负责不同域中的不同领域时，您仍然希望来自一个领域的用户在另一个领域中进行身份验证：

002drealm-Authentication.html

当一个领域和域中有两个KDC时，让其中一个成为主KDC和另一个从机是有意义的。这就引出了一个问题--第二位KDC大师的原因是什么？

• 是医管局关注的问题吗？那么，其中一个KDC主人确实需要成为一个奴隶KDC。
• app-cluster和data-cluster都在不同的领域吗？那么，拥有不同的领域就有意义了。

如果到目前为止不存在高可用性问题(例如，这两个集群都还在开发阶段)，另一种选择可以是只使用一个KDC主服务器，而不需要任何从服务器，并在所有集群中配置节点来与此KDC通信。

关于领域结构的一般性建议：

config.html