Tenemos muchos equipos Linux (RHEL) que se autentican en Active Directory.
¿Es suficiente una tabla de teclas para todas las máquinas Linux?
¿Necesitamos una clave para cada máquina?
¿Qué son las PROS y los CONS?
¿Cuáles son los riesgos de usar una sola tabla de teclas para todas las máquinas Linux?
El punto principal de Kerberos es la autenticación: permite que las entidades en red demuestren su identidad. Para que esto funcione, cada entidad debe tener un nombre único (en la jerga de Kerberos, "nombre principal").
No querrá compartir una tabla de teclas entre todas las máquinas, porque una tabla de teclas contiene la clave secreta de un nombre principal específico de Kerberos. Compartir una tabla de claves significaría que está compartiendo la identidad de esa tabla de claves entre todas las máquinas. Todas las máquinas usarían Kerberos para declarar que tienen el mismo nombre de máquina, y Active Directory no podrá diferenciar las máquinas.
Considere una analogía: tratar de compartir una tabla de teclas entre varias máquinas es similar a tratar de compartir un nombre principal de Kerberos entre varios usuarios. Puede indicar a cinco personas que utilicen el mismo nombre de usuario y contraseña ... y pueden iniciar sesión ... pero el sistema en el que inician la sesión no se dará cuenta de que hay cinco personas distintas. El sistema vería varias conexiones a una sola cuenta, ya que todas las conexiones usan un solo nombre principal de Kerberos.
Lea otras preguntas en las etiquetas linux active-directory kerberos