Estou tentando configurar um ambiente Kerberos simples no qual um servidor cliente se autentica em um webservice (no meu caso OpenSSH) por meio de um servidor Kerberos.
Gerei um arquivo keytab no KDC, mas não tenho certeza de quais servidores copiar o arquivo. Preciso apenas copiá-lo para a máquina que está oferecendo o serviço ou também para a máquina cliente que deseja autenticar o serviço?
em uma situação normal, o arquivo keytab que você criou (geralmente, usando uma conta de serviço principal (ou instância), por exemplo ssh/hostname) deve ser colocado no "cliente" desse serviço kerberos.
e neste cliente, você usará este keytab (armazenando em cache as credenciais da conta) para autenticar seu serviço no KDC , com um comando como este (no caso de um serviço, isso geralmente é feito pelo serviço, em seu código ou por meio de um script, no momento da inicialização):
keytabs de alguma forma contêm as credenciais da sua conta (ou conta de serviço) (por exemplo, principal e senha) para que você não precise autenticar manualmente, mas pode fazê-lo automaticamente usando este keytab (e o keytab deve ter permissões estritas, naturalmente)
espero que ajude
nota : o KDC também usa keytabs, tome cuidado para não enviar este keytab para seu cliente! ele contém informações do KDC/kadmin !
para ter certeza de que está usando o correto, você pode se conectar ao seu KDC a partir do cliente usando kadmin e criar o keytab a partir daí, por exemplo:
Saudações,