Kerberos
公共 kerberos 的推薦部署
我已經配置並啟用了對 iOS 設備進行無縫 X.509/Kerberos 身份驗證的環境。安全問題是 KDC 需要暴露在公共網際網路上才能正常工作。我正在嘗試確定緩解這種情況的最佳方法。
我正在考慮在只有使用者公共證書的雲中部署一個“從屬”KDC,它可以通過 VPN 連接到域控制器/kdc 到公司網路。兩個 KDC 將位於不同的領域,並且由於發布的服務票證將來自公共 KDC,因此它們不能用於在公司私有 KDC 中執行任何惡意操作(如果它們要獲得對網路的訪問權)。
這行得通嗎?我將如何讓這兩個 KDC 相互交談?
注意:我在這個組合中也有一個 SAML SSO 系統,它將成功的身份驗證聯合到其他系統。
另請參閱 Security.SE:
我看不出專用網路上的 KDC 副本能為您帶來什麼。Kerberos 從一開始就是為不受信任的網路設計的。
像保護散列密碼數據庫一樣保護它。以最少的服務和最多的登錄和網路流量審查執行面向 Internet 的 KDC。也許委託一個滲透測試讓第三方尋找你看不到的缺陷。