Linux Kerberos 密钥管理指南

Kerberos 是一种网络认证协议，使用密钥加密技术来验证客户端和服务器的身份。以下是关于 Linux 上 Kerberos 密钥管理的详细说明。

1. Kerberos 密钥基础

Kerberos 密钥有以下特点： - 每个主体(principal)都有一个或多个密钥 - 密钥存储在 Key Distribution Center (KDC) 数据库中 - 密钥版本号(KVNO)随每次密码/密钥更改而递增

2. 常用管理工具

kadmin/kadmin.local

主要管理工具，需要管理员权限：

kadmin -p admin_user
# 或直接在本机使用
kadmin.local

ktutil

管理 keytab 文件的工具

3. 密钥管理操作

添加/修改主体密钥

kadmin: addprinc -randkey host/server.example.com
kadmin: cpw username

查看密钥信息

kadmin: getprinc username
# 或使用
kadmin: listprincs

导出密钥到 keytab 文件

kadmin: ktadd -k /path/to/keytab host/server.example.com

删除密钥

kadmin: delprinc username

4. Keytab 文件管理

创建 keytab

ktutil
ktutil: add_entry -password -p username@REALM -k 1 -e aes256-cts-hmac-sha1-96
ktutil: wkt /etc/krb5.keytab
ktutil: quit

查看 keytab 内容

klist -kte /etc/krb5.keytab

合并 keytab

ktutil
ktutil: rkt /path/to/keytab1
ktutil: rkt /path/to/keytab2
ktutil: wkt /path/to/merged.keytab
ktutil: quit

5. 密钥轮换最佳实践

1. 生成新密钥：

kadmin: cpw -randkey username

2. 更新 keytab：

kadmin: ktadd -k /path/to/keytab username

3. 验证新旧密钥都能工作后再删除旧密钥

6. 安全注意事项

• 定期轮换密钥(建议每90天)
• 限制 keytab 文件的访问权限(通常应为 400 或 600)
• 避免在不安全的位置存储 keytab
• 监控 KDC 日志中的异常认证尝试

7. 故障排查

• 使用 kinit -k -t /path/to/keytab username 测试 keytab
• 检查 /var/log/krb5kdc.log 获取详细错误信息
• 确保客户端和服务器时间同步(NTP)

通过以上方法，您可以有效地管理 Linux 系统上的 Kerberos 密钥，确保认证系统的安全性和可靠性。