Выбор сервера в krb5.conf

Question

У меня общий вопрос о конфигурации Kerberos (krb5.conf) на клиенте.

Если я предоставлю клиенту RHEL8 несколько серверов AD для аутентификации (один в США, один в Европе и один в Азии) ), какой сервер будет использовать клиент, если я захочу подключиться из Германии?

krb5.conf

        AD.COMPANY.COM = {
        kdc = us-server.ad.company.com
        kdc = eu-server.ad.company.com
        kdc = asia-server.ad.company.com
        }

- это список серверов, обработанный тупо сверху вниз, или сервер, который используется, который самые быстрые ответы?

Привет D1Ck3n

Answer 1

Чтобы уточнить ответ T-Herons, было бы немного уязвимости безопасности, если бы он ответил на самый быстрый. Представьте, что я знал, что один из трех серверов хранил пароль таким образом, что пропустил бы недопустимый га sh, я мог замедлить два других с помощью потока пакетов или DDOS и заставить уязвимый сервер отвечать первым каждый раз.

Дизайн FL aws подобный этому, как правило, может использоваться в большинстве компьютерных систем (особенно в таких вещах, как, например, работа в сети). Так что «безопасно» предполагать, что в любом случае, когда вы имеете дело с аутентификацией, вы имеете дело с одной аутентификацией за раз.

Answer 2

Список серверов в krb5.conf обрабатывается сверху вниз. Так что для вас сначала будет пробоваться us-сервер, а затем eu-сервер, только если us-server не отвечает.

Вот ссылка, которая описывает обработку нескольких KD C в krb5.conf (you ' придется пролистать примерно две трети пути вниз): http://kerberos.996246.n3.nabble.com/multiple-kdc-servers-td36791.html

Чтобы быть уверенным, клиент с поддержкой Kerberos будет искать местоположение KD C через Записи DNS SRV _kerberos в отсутствие явных определений KDC в krb5.conf. Но любой KD C, указанный в krb5.conf, будет иметь приоритет над записями DNS SRV.