公共 kerberos 的推薦部署

我已經配置並啟用了對 iOS 設備進行無縫 X.509/Kerberos 身份驗證的環境。安全問題是 KDC 需要暴露在公共網際網路上才能正常工作。我正在嘗試確定緩解這種情況的最佳方法。

我正在考慮在只有使用者公共證書的雲中部署一個“從屬”KDC，它可以通過 VPN 連接到域控制器/kdc 到公司網路。兩個 KDC 將位於不同的領域，並且由於發布的服務票證將來自公共 KDC，因此它們不能用於在公司私有 KDC 中執行任何惡意操作（如果它們要獲得對網路的訪問權）。

這行得通嗎？我將如何讓這兩個 KDC 相互交談？

注意：我在這個組合中也有一個 SAML SSO 系統，它將成功的身份驗證聯合到其他系統。

另請參閱 Security.SE：

• 公共 Internet 上的 Kerberos 身份驗證
• Kerberos KDC 是否知道使用者的明文密碼？

我看不出專用網路上的 KDC 副本能為您帶來什麼。Kerberos 從一開始就是為不受信任的網路設計的。

像保護散列密碼數據庫一樣保護它。以最少的服務和最多的登錄和網路流量審查執行面向 Internet 的 KDC。也許委託一個滲透測試讓第三方尋找你看不到的缺陷。

引用自：https://serverfault.com/questions/958047