web-dev-qa-db-ja.com

キータブとは正確には何ですか?

Kerberosがどのように機能するかを理解しようとしているので、KDCサーバーへの認証に使用されると思われるKeytabと呼ばれるこのファイルに出会いました。

Kerberosレルムのすべてのユーザーとサービス(Hadoopなど)にサービスプリンシパルがあるように、すべてのユーザーとサービスにはキータブファイルがありますか?

また、keytabを使用した認証は、対称キー暗号化または公開秘密キーで機能しますか?

11
ak0817

2つの質問に答えるために、すべてのユーザーとサービスはキータブファイルを必要とせず、キータブは対称キー暗号化を使用します。

Active Directoryをディレクトリサービスとして使用するWindowsシステムとWindows以外のシステムの混合ネットワークでのキータブの使用方法に関する理解に基づいて、もう少し説明します。ディレクトリサービスが最も一般的なディレクトリサービスであるAD以外のものである場合、キータブの使用方法はよくわかりませんが、すべてKerberosに基づいているため、概念はまったく同じだと思います。繰り返しますが、エンタープライズネットワークでは、すべてのユーザーとサービスにキータブファイルは必要ありません。

キータブは、ディレクトリサービスに存在するサービスとその長期キー(サムソンがパスワードと呼んだもの)の表現を含む暗号化ファイルです。 Active Directoryレルムでは、キータブは、Kerberosプロトコルで保護されているWindows以外のプラットフォームでを実行しているサービスに特に役立ちます。

キータブは次のいずれかに使用されます

  1. サービスへのインバウンドADユーザーのKerberosサービスチケットを復号化する
  2. または、ネットワーク上の別のサービスに対してサービス自体を認証します。

ポイント#2は特に便利です。サムソンが言ったように、サービスは自分自身を認証するためにパスワードを手動で入力することができないため、長期キーはファイルに有効にエンコードされます。これが、keytabファイル自体が機密であり、保護する必要がある理由です。

キータブに関する追加の詳細情報については、キータブの詳細をご覧ください: Kerberos Keytabs – Explained

私は頻繁に戻って、このフォーラムでここに表示される質問に基づいて編集します。

16
T-Heron