用于身份验证的 Linux keytab 文件

Question

我是 Linux keytab 文件的新手。有没有适合新手的文档说明该文件在身份验证中的作用是什么？谢谢。

问候， 乔治

Answer 1

通常，必须输入密码才能通过 Kerberos 进行身份验证。问题在于脚本或程序需要在没有人工交互的情况下进行身份验证。例如，您在半夜启动服务器，并希望所有服务都能启动，而不需要操作员在控制台输入一堆密码。

keytab 文件提供了此功能。本质上，它是一个或多个条目，每个条目由一个 Kerberos 帐户名（您将看到这些称为“主体”）和一个从密码派生的加密值组成。这些可以一起用于对 Kerberos 服务器进行身份验证，而无需人工交互。

这样做的价值在于，通过查看文件不可能知道密码。但是，任何对该文件具有读取访问权限的人都可以使用它来向 Kerberos 服务器进行身份验证，因此保持文件受到良好保护并且只有其所有者可读仍然很重要。

我无法找到密钥表文件的良好通用入门级参考，但是许多网站都为用户编写了自己的教程。尽管这些内容是针对特定受众和环境编写的，但许多内容都提供了有关该主题的良好背景。阅读这些内容的一个很好的起点是斯坦福大学的密钥表简介。