為什麼 kerberos HOWTO 指定將 keytab 安全地複製到主機？聯網的 kadmin 不安全嗎？

Kerberos HOWTO 經常有類似這樣的詞：

將密鑰表安全地傳輸（通過快閃記憶體驅動器、磁碟或加密連接）到客戶端主機。

以 root 身份登錄客戶端主機、執行 kinit 以獲取管理帳戶的憑據以及從客戶端執行 kadmin 是否不夠好？

我認為這主要是舊 MIT Kerberos 版本的保留，這些版本確實存在安全問題或功能較低（kadmin在網路模式下過去無法做很多事情；您必須kadmin.local在主 KDC 上執行）。當然，Heimdal 從來沒有受到任何此類限制的困擾，實際上簡化和優化了這個過程（ktutil get）。此外，許多 MIT Kerberos 官方文件都假設了很多我在任何地方的實際使用中都很少看到的偏執狂，例如假設任何安全憑證總是從一個系統手動複製到另一個系統。

引用自：https://serverfault.com/questions/274750