web-dev-qa-db-fra.com

Qu'est-ce qu'un keytab exactement?

J'essaie de comprendre comment Kerberos fonctionne et j'ai donc trouvé ce fichier appelé Keytab qui, je crois, est utilisé pour l'authentification auprès du serveur KDC.

Tout comme chaque utilisateur et service (par exemple Hadoop) dans un domaine Kerberos a un principal de service, chaque utilisateur et service a-t-il un fichier keytab?

De plus, l'authentification à l'aide de keytab fonctionne-t-elle sur la cryptographie à clé symétrique ou la clé publique-privée?

11
ak0817

Pour répondre à vos deux questions, chaque utilisateur et service n'a pas besoin d'un fichier keytab et les keytabs utilisent la cryptographie à clé symétrique.

Je vais expliquer un peu plus en fonction de ma compréhension de la façon dont les keytabs sont utilisés dans les réseaux mixtes de systèmes Windows et non Windows utilisant Active Directory comme service d'annuaire. Si le service d'annuaire est autre chose qu'AD, qui est le service d'annuaire le plus populaire, alors je ne suis pas aussi familier avec la façon dont le keytab serait utilisé mais j'imagine que les concepts seraient exactement les mêmes car ils sont tous basés sur Kerberos . Encore une fois, dans les réseaux d'entreprise, chaque utilisateur et service n'a pas besoin d'un fichier de clés.

Les Keytabs sont des fichiers cryptographiques contenant une représentation du service et de sa clé à long terme (ce que Samson a appelé le mot de passe) tel qu'il existe dans le service d'annuaire. Dans un domaine Active Directory, les keytabs sont particulièrement utiles pour les services exécutés sur une plate-forme non Windows protégée par le protocole Kerberos.

Les keytabs sont utilisés pour

  1. décrypter le ticket de service Kerberos d'un utilisateur AD entrant au service
  2. ou authentifier le service lui-même auprès d'un autre service du réseau.

Le point # 2 est particulièrement utile, car comme l'a dit Samson, un service ne peut pas saisir manuellement son mot de passe pour s'authentifier, de sorte que la clé à long terme est utilement encodée dans le fichier. C'est pourquoi le fichier keytab lui-même est sensible et doit être protégé.

Pour plus d'informations détaillées sur les keytabs, vous pouvez en savoir plus sur les keytabs ici: Kerberos Keytabs - Explained .

Je reviens fréquemment et le modifie en fonction des questions que je vois ici dans ce forum.

16
T-Heron