Kerberos和Kerberos領域

Question

我想了解Kerberos和Kerberos領域。我想知道的是，如果您有一家公司，例如一家總部位於不同地點，擁有兩個辦事處並且擁有自己本地網絡的公司，並且總部的公司服務器位於總部，並且所有辦事處的客戶都需要訪問總部的服務器，在每個地點有KDC（領域？）還是總部的單個KDC？

Answer 1

您可以在網絡的每個網段中都有KDC，然後啓用跨域身份驗證。跨域身份驗證的詳細信息可以在下面給出的站點中找到。

http://www.centos.org/docs/5/html/Deployment_Guide-en-US/ch-kerberos.html。 祝你好運

Answer 2

在正常情況下，你不會設置多個領域。多個領域指定可能不必要的單獨信任域。您可能會決定在每個辦公室單獨設置一個KDC，以減少延遲，這可能會導致物理安全問題，被盜的KDC意味着您的整個用戶數據庫都會出現異常。微軟使用RODC http://technet.microsoft.com/en-us/library/cc732801(v=ws.10).aspx來解決這個問題，但據我所知，無論是MIT還是Heimdal都沒有提供類似的東西，在這種情況下，您可能希望將遠程/分支辦公室用戶置於單獨的領域，這樣，如果他們的用戶數據庫被竊取它只會是他們。在這種情況下，您可能希望至少有一個KDC用於遠程領域，以便您可以快速枚舉用戶並更改其密鑰。

當Windows AD和UNIX主機需要互操作並且UNIX主機是不同領域的成員時，還有一個地方使用跨領域信任。