使用过期密码的Kerberos身份验证
问题描述:
我们正在使用Java Kerberos身份验证从Linux连接到我们的SQL Server数据库。在这里,我们使用了主要名称和密码来在Linux系统上生成密钥表文件。目前连接正常工作。使用过期密码的Kerberos身份验证
但是还有一个额外的要求是使用到期的密码,每3个月到期。在我们的其他应用程序中,我们使用称为CyberArk的API从仓库中检索密码,Ops团队不需要担心更改位于Linux系统上的应用程序服务器上的密码。
有没有人在这样的环境中使用Kerberos的经验?我们基本上是在每次密码过期时避免重新生成密钥表文件。
答
我不认为你可以避免在密码更改或过期的情况下重新生成密钥表文件。但是,您可以做的是在Linux服务器上生成密钥表文件。这需要Linux服务器加入Active Directory,使用RHEL本地工具领域或Centrify软件。
对于Centrify公司用户,https://community.centrify.com/t5/Centrify-Express/Replace-SSH-Keys-with-Kerberos-Keytabs/td-p/10112
您可以编写脚本的密钥表的更新,以'在Linux ktutil' *(在RedHat和朋友,'krb5_workstation'包的一部分,像'kinit')*和Windows *上的'ktab.exe'(随Oracle/Sun JRE一起提供)*,以便您可以在AD *中更改密码并*一次更新密钥表。 –
我们面临的问题是,AD中的密码更新每隔三个月由另一个系统完成。所以我们的Linux环境基本上对密码更新一无所知。所以,一旦我们的委托人的AD密码被更新,我认为密钥表将不再有效。在这种情况下,我们将不得不手动重新生成票证。 – nprak
你可以贿赂/欺负/威胁管理团队的_“其他系统”_,以便他们**自动**创建一个新的密钥表在他们运行更新时?理想情况下,应该在keytab中增加* pwd,并在'kvno'中增加 - 引用https://serverfault.com/questions/699641/how-to-avoid-frequent-kvno-increases-when -using-apache-httpd-with-mod-auth-curb,_“AD通常不关心你的KVNO是什么......将尝试使用该主体的最新密钥进行解密/验证,并且如果这不起作用,它会尝试与前一个“_ –