Kerberos
1、Kerberos是一个基于共享密钥对称加密的安全网络认证系统,它避免了将密码(包括密码hash)在网上传输,而是将密码作为对称加密的密钥,通过能不能解密来验证用户的身份;
2、Kerberos在验证完用户身份后会发给用户Ticket,这个Ticket包含了用户的授权,用户拿着这个Ticket去享受各种服务,所以在Kerberos管理的范围内用户只需要登录一次就可以享用所有的服务;
3、如果拿Kerberos作为集群服务器的登录管理,那么每台工作机(或者是跳板机,但是sshd不提供Kerberos的ticket初始化,需要自己改造一下)都必须是Kerberos于的成员;
4、负责管理发放Ticket和记录授权的中心服务器被称为KDC(Key Distribution Center),它知道所有用户和服务的密码。这就是Kerberos服务器;
5、类似NIS 的name domian(域)在Kerboeros被称为realm,Kerberos可以管理多个realm;
6、在Kerberos域(realm)中每添加一个服务或者用户就要添加一条principal,每个principal都有一个密码。用户principal的密码用户自己记住,服务的principal密码服务自己记录在硬盘上(keytab文件中);
7、用户principal的命名类似elis/admin@EXAMPLE.COM,形式是用户名/角色/realm域。服务principal的命名类似ftp/station1.example.com@EXAMPLE.COM,形式是服务名/地址(提供者)/realm域;
8、Kerberos的进程有krb5kdc(主进程,也就是KDC)、kadmind(用于远程管理pricipal数据库)、kpropd(slave同步数据用)。配置文件在/etc/krb5.conf和/var/ker