对于基于kerberos的身份验证,我们是否需要为所有AD用户提供密钥表条目?
对于基于Kerberos的身份验证,我们不需要为所有AD用户提供密钥表条目。
Kerberos是一种网络身份验证协议,用于在计算机网络中安全地验证用户身份。在Kerberos中,用户和服务之间的身份验证是通过使用密钥表来完成的。密钥表包含了用户和服务的密钥,用于加密和解密身份验证信息。
在Active Directory(AD)环境中,AD作为一个身份验证和授权的中心,可以集成Kerberos来提供安全的身份验证机制。当用户登录到AD域时,AD会为用户生成一个密钥表条目,并将该密钥表条目分发给相关的服务。这样,用户就可以使用Kerberos协议进行身份验证。
然而,并不是所有AD用户都需要拥有密钥表条目。通常情况下,只有那些需要访问受Kerberos保护的服务的用户才需要密钥表条目。这些服务可能包括文件共享、打印服务、数据库访问等。对于其他没有访问这些服务的用户,不需要为其提供密钥表条目。
总结起来,对于基于Kerberos的身份验证,我们只需要为那些需要访问受Kerberos保护的服务的AD用户提供密钥表条目。这样可以确保身份验证的安全性,并减少密钥表的管理工作量。
腾讯云提供了一系列与身份验证和安全相关的产品和服务,例如腾讯云身份认证服务(CAM)和腾讯云安全产品。您可以通过访问腾讯云官方网站(https://cloud.tencent.com/)了解更多相关信息。
相关·内容
1回答
密钥表到底是什么?
security、hadoop、authentication、kerberos、keytab
我正在尝试了解Kerberos是如何工作的,因此偶然发现了一个名为Keytab的文件,我相信它用于对KDC服务器进行身份验证。
就像kerberos领域中的每个用户和服务(比如Hadoop)都有一个服务主体一样,是否每个用户和服务都有一个密钥表文件?
另外,使用keytab的身份验证是否适用于对称密钥加密或公钥-私钥?
浏览 3提问于2017-05-09得票数 29
回答已采纳
7回答
SSL和Kerberos身份验证之间的区别?
ssl、kerberos、traffic、netmon
我正在尝试理解SSL和Kerberos身份验证之间的实际区别,以及为什么有时我同时拥有SSL流量和Kerberos。或者Kerberos是否以任何方式使用SSL?
有人能帮上忙吗?谢谢!
浏览 5提问于2008-09-22得票数 54
2回答
Kerberos三个事务--为什么不使用两个呢?
encryption、kerberos
我在以下网站上读过关于Kerberos的描述:http://www.roguelynn.com/words/explain-like-im-5-kerberos/,我认为我大致理解它是如何工作的:
用户向身份验证服务器显示身份
身份验证服务器为用户提供一张授予票证(TGT)的票证,其中包括TGS会话密钥
用户使用TGS会话键连接到TGS。
TGS使用服务会话键进行应答。
用户使用服务会话键连接到服务。
(我跳过了关于如何用各种密钥加密值的部分,以便让每台机器验证加密是由拥有秘密密钥的AS或TGS完成的。)
我不明白的是,为什么用公钥加密分两步做并不简单:
用户"bennett“对AS进
浏览 0提问于2018-08-21得票数 3
回答已采纳
1回答
Kerberos能加密服务器之间的网络通信吗?
encryption、kerberos
在使用Active Directory的coporate环境中工作,我无意中听到有人发表评论说Kerberos protcol可以用于加密Windows服务器之间的网络通信。Kerberos能做到这一点吗?
我的理解是Kerberos是一种网络身份验证协议,其功能之一是允许服务器彼此进行身份验证。令牌是加密的,但除非实现SSL连接,否则服务器之间的网络通信不会是加密的。
浏览 0提问于2019-01-03得票数 2
回答已采纳
4回答
Windows集成(NTLM)身份验证与Windows集成(Kerberos)
c#、asp.net、iis-6、kerberos、ntlm
Windows集成(NTLM)身份验证和Windows集成(Kerberos)有何区别?
如何在IIS6中实现这些功能
w.r.t.
浏览 3提问于2011-07-19得票数 11
回答已采纳
1回答
使用faceId/touchId的应用程序的安全性?它怎麽工作?
java、android、ios、authentication、authorization
在我的国家,我们有一个MFA服务,例如,可以接收你的手机号码,然后点击你的手机,你输入一个密码,你就被认证了。调用此服务的应用程序将获得您的“社会保险号码”等号。
在应用程序中,可以如下所示:
你第一次打开这个应用程序。输入您的电话号码并进行身份验证。
这个应用程序也可以让你选择一个引脚,但是在第一次登录之后,它不会提示你再次使用这个MFA,它会使用你的脸id或者你的touchId。
这是怎么回事?
以下是一种猜测:
在注册过程中,MFA服务被调用,它获取您的“社会保险号码”,并使用它作为您的用户名。
你输入的密码(可能只有4个字母-非常短,所以我怀疑这个理论)然后被用
浏览 0提问于2019-06-19得票数 1
回答已采纳
9回答
腾讯云是如何保障客用户安全的?
安全、物联网、腾讯云、服务、服务器
现如今,全球互联网安全警戒线频频拉高,许多域名服务器和网站托管服务都遭受攻击,手机病毒感染用户也在增加,大量物联网设备成为黑产攻击武器。在这一系列现象的背后,许多腾讯云用户也不经想问到,腾讯云是如何保障客我们用户安全的?
浏览 5661提问于2018-08-03
1回答
服务器是否决定要遵循哪种身份验证方法?
web-applications、security、kerberos、ntlm、ntlmv2
对于Web应用程序,是由服务器来决定要遵循哪种身份验证方法,还是由它来决定客户端。
是特定于浏览器的身份验证方法,如NTLM和Kerberos。
在intranet web应用程序中,与NTLM和Kerberos相比,BASIC和Diget处于什么位置?
谢谢您:)
浏览 2提问于2012-10-18得票数 0
回答已采纳
1回答
为什么我需要与Windows 2000兼容的对枚举组成员的访问?
active-directory、security、ldap
我试图锁定安全性,包括删除UNIX addon创建的泄漏密码散列。我从前Windows 2000兼容访问组中删除了经过身份验证的用户。然而,这样做后,有一小部分用户无法登录到各种非Windows的东西,如Redmine,Subversion,我们的VPN等。这些服务使用ldapbind用户帐户进行身份验证,然后使用SSL LDAP对AD进行身份验证,并检查组成员身份。我们还使用运行SSSD的Linux机器通过Kerberos进行身份验证,并使用LDAP检查组成员身份。
我发现的问题是,不能为少量用户枚举组成员身份。他们可以被认证,但没有授权。例如,如果我登录到Linux框并执行"id用
浏览 0提问于2013-02-13得票数 2
回答已采纳
1回答
在JOSSO服务器上使用Windows凭据进行SSO
tomcat、single-sign-on、kerberos、spnego、josso
我目前正在尝试扩展我们的SSO解决方案。我的公司使用运行在Tomcat上的JOSSO服务器为用户启用单点登录。现在,我想使用用户的Windows凭据自动登录到JOSSO服务器。我研究了各种方法。Kerberos、Spnego和Windows集成身份验证,但我不知道它们是如何协同工作的。
谁能告诉我我需要哪些物理组件,以及它们是如何粗略地相互通信的?
浏览 3提问于2014-03-05得票数 0
1回答
我为什么要信任JSON令牌(JWT)?
identity、saml、kerberos、identity-management、jwt
在SAML和Kerberos身份验证模型中,可以清楚地了解哪些权威机构对用户进行了身份验证,并颁发了被下游系统信任的凭据。为了进行身份传播,下游系统模拟用户的权限可以在解决方案体系结构和相关的标识域内严格控制。
据我所知,SAML和Kerberos模型的完整性不是JWT方法的一部分。JWT似乎是一种提供与Kerberos非常相似的功能的机制,但没有定义的KDE的支持功能。
我是不是遗漏了什么?JWT是基于“信任网络”,还是每个JWT实现都负责定义自己的可信任身份验证机制等等?
浏览 0提问于2015-10-12得票数 6
回答已采纳
1回答
使用OpenLDAP、Samba4、FreeIPA和Active的LDAP身份验证
authentication、active-directory、openldap、freeipa
想弄清楚什么是LDAP认证。我可以使用LDAP对MS Active、Samba4、FreeIPA和OpenLDAP进行身份验证,对吗?
因此,这四种软件可以保存用户的数据。但是,为什么Windows身份验证服务不能通过OpenLDAP进行身份验证?什么AD可以告诉Windows,这是不能告诉OpenLDAP?
如果我要为web服务构建LDAP认证,它会在所有LDAP支持的服务上工作吗?
浏览 1提问于2017-09-17得票数 0
回答已采纳
2回答
通过跳转服务器和SSH数据传输传播恶意软件
network、malware、ssh、rdp、insider-threats
有人能给我解释一下跳转服务器如何减少恶意软件感染的风险吗?
虽然我理解使用跳转服务器作为额外防御层的一些好处,例如身份验证、2FA等,但是,如果用户的工作站或膝上型计算机感染了恶意软件,并且他们可以通过SSH/RDP访问跳转服务器--恶意软件能不能在这个SSH会话中传播,并最终传播到其背后的服务器?如果是,跳转服务器在这里有什么帮助?
另外,如何通过SSH/SCP从跳跃式服务器禁用数据的传输或外传--对于能够访问跳跃式服务器的特权用户和非特权用户?这有可能吗?从内部威胁的角度来问这个问题。
浏览 0提问于2019-06-07得票数 0
回答已采纳
1回答
Azure AD集成认证
asp.net、azure、azure-active-directory、windows-authentication、azure-authentication
我想要实现类似Windows集成认证,其中用户数据是从您的个人电脑读取,这是在组织的内部网。
我们已经在Azure上注册了我们的组织,并设置了Azure AD,我们有应用程序使用SSO连接到AD并从其中检索用户数据。我们也可以用"name.surename@organisation.onmicrosoft.com“帐户登录到我们的设备。
问题:
是否可以通过使用pc登录信息自动将用户身份验证到我们的web应用程序中?
是否存在允许我们使用Azure AD以Windows集成身份验证方式对用户进行身份验证的身份验证方案?
最终的目标将是拥有类似Windows集成身份验证的
浏览 2提问于2017-12-12得票数 0
回答已采纳
3回答
我应该如何在服务器上存储加密的用户数据,并只向正确的用户提供?
security、authentication、encryption、passwords、authorization
让我们假设我必须存储用户的敏感数据,这些数据在客户端可以选择加密。
加密(可选)应该使用用户的密码()完成。
用户登录(可选)应该使用用户的密码。
备注:
纯文本密码不在服务器上存储或通过网络传输.
我的选择及其缺点:
1.没有身份验证,客户端授权:
服务器将数据提供给每个人,但只有原始用户才有解码的手段。
任何人都可以使用数据来破解加密--这不是保护加密的最佳方法。
2.服务器端身份验证,没有授权:
服务器存储用户的密码以访问数据,并且只将数据提供给能够提供正确密码的用户。
用户不信任网络在没有加密的情况下传输数据__。
3.身份验证和授权:
服务器存储用户的密码以访问加密的
浏览 3提问于2010-09-06得票数 4
回答已采纳
3回答
Kerberos -向域用户添加SPN
active-directory、kerberos、service、integrated-authentication、spn
当将新的SPN添加到Kerberos域中时,您可以选择将SPN映射到用户。通常,我通过集成Windows身份验证加入域,这将为该服务创建一个新的计算机帐户,但现在,我想尝试使用没有IWA的Kerberos。
我相信我对Kerberos如何对计算机主机的客户端进行身份验证有了彻底的了解(对于我所要做的工作来说已经足够好了)--但是将SPN映射到域用户到底是做什么的呢?
编辑:我不是在问SPN一般是如何工作的。我专门询问将SPN映射到域用户的详细信息。
答案:
Kerberos将允许该特定用户承载此服务--而不是使用计算机主机帐户进行身份验证,服务器将被连接到该特定用户下的Kerberos域中。身
浏览 0提问于2013-09-23得票数 5
回答已采纳
1回答
Kerberos重放攻击
kerberos、replay-detection
假设我想向使用Kerberos保护的netwerk上的打印服务器发送一个命令。为此,我对KDC进行身份验证,并获得一个TGT,然后从TGS获得另一个用于打印服务器的票证。然后我对打印服务器进行身份验证,然后向它发送一个print命令,并使用会话密钥签名。但是,假设有人在网络上监听并嗅探我发送的命令,是什么阻止他将其重放到打印服务器,从而能够打印我在同一会话期间刚刚打印的同一个文件(所以是相同的会话密钥)?解决方案是为发送到打印服务器的每个命令从TGS获得一个新的票证(因此也是新的会话密钥),但我认为这在Kerberos协议中并不是必需的。
浏览 0提问于2015-03-02得票数 4
回答已采纳
1回答
Azure AD用于对本地应用程序(令牌转换服务和类似服务)进行身份验证
azure、azure-active-directory、single-sign-on
我正在尝试让Azure AD成为企业用户的身份提供商,以便通过AAD进行身份验证,并从企业拥有的虚拟(和物理)桌面访问本地应用程序,最好使用SSO和可选的MFA。本地应用程序需要一个或多个Kerberos、OIDC和SAML令牌/票证。目前,混合AD连接已启用。至少某些应用程序可能需要令牌转换服务。假设公司设备不一定总是内部网络的一部分。 寻找关于标准解决方案模式的建议,包括第三方和开源产品。
浏览 30提问于2021-07-23得票数 0
1回答
作为本地用户运行的服务的Apache
apache-2.2、active-directory、single-sign-on
我试图将应用程序的web层移动到Centos上的Apache上,并使用mod_auth_kerb对AD用户进行身份验证,并在应用程序中自动记录他们。我已经成功地加入了域,并且可以成功地为AD用户颁发kerberos票证。
我遇到的问题是后端应用程序服务是以本地用户的身份在windows服务器上运行,而不是以AD用户的身份运行,因此我不知道如何将正确的keytab导入到apache中。
我的想法是在AD中创建一个相同的用户,然后将SPN添加到该用户,并使用ktpass导出keytab。问题是,AD管理员希望避免创建新用户,因为他们需要获得批准等.
那么,是否有一种不需要在AD中创建新用户的方法来
浏览 0提问于2014-02-12得票数 0
回答已采纳
2回答
kerberos是否只加密身份验证或所有客户端通信?
kerberos
kerberos是否只加密身份验证过程或所有客户端通信?
我当时的印象是,这就像局域网的VPN。
所以所有的局域网通信都是加密的。就像所有的互联网通信都是用VPN加密的一样。
问候奥布里
浏览 1提问于2015-04-21得票数 4
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
云直播活动推荐
腾讯云开发者
