在外部服务器上放置密钥表是否安全

Question

我想知道我们是否可以将内部活动目录中的密钥表放在野外的web服务器上。

如果我没有完全错的话，在web服务器和active directory之间没有直接的通信。SPNEGO跨客户端连接执行任何协商。因此这应该是可行的，但是它是安全的吗？

假设web服务器遭到黑客攻击，攻击者可以访问密钥表文件。这可能/是否会影响我们内部active-directory的安全性，或者我是否“只”有一个受损的web服务器？密钥表文件可以用来找出我们网络的一些内部结构吗？

编辑:为了澄清，维基百科提供了一篇很好的文章来更好地描述这种情况。我说的是Kc-s，我们在TGS和SS之间共享密钥表

​

​

Kerberos协议，由Jeran Renz，CC BY-SA 4.0 https://creativecommons.org/licenses/by-sa/4.0，通过维基媒体共享https://en.wikipedia.org/wiki/Kerberos_(protocol)

Answer 1

keytab文件只是SPN到键的映射。密钥是用于在Active Directory中对服务进行身份验证或验证从Active Directory到服务的票证的文字密钥。

因此，这等同于攻击者获得了服务SPN及其密码。这到底是真的很糟糕，还是只是有点糟糕，只有你自己才能决定。