Momentálne hľadám konfiguráciu servera Kerberos V.oblasť a premýšľal nad rizikom, že v mojom prostredí budú mať systémy, ktoré nie sú v FQDN (plne kvalifikovaný názov domény). Veľa mojich rešerší sa zmieni o použití FQDN, ale nespomína sa, aké sú riziká, že nebudeme v FQDN.
odpovede:
2 pre odpoveď č. 1Nie je to presne riziko v zmysle bezpečnosti, ale spôsobí to veľa zmätku pri konfigurácii rôznych klientov a serverov.
Kerberos závisí od schopností klienta aserver, aby sa dohodli na názve služby, ktorý má použiť nejaký proces, ktorý je mimo protokolu kerberos. Inými slovami, ak chcem používať kerberos telnet k nejakému hostiteľovi, musím vopred vedieť, aký hlavný poskytovateľ služby v ňom hostiteľ používa "/etc/krb5.keytab. V protokole kerberos neexistuje žiadny spôsob, ako klient naučiť sa to.
Štandardne klienti kerberos spravia agethostbyname, potom gethostbyaddr na vrátenej IP adrese a potom pomocou tohto hostname skonštruujte príkazcu služby. Tu narazíte na problémy. Môžete skúsiť úplne vypnúť kanonikalizáciu DNS (je to možnosť v krb5.conf).
Existuje tiež problém predvolenej oblasti založenej na názve hostiteľa, ale je to oveľa jednoduchšie riešenie pomocou hodnôt v /etc/krb5.conf.