kerberos 配置解决常见问题

kdc原生支持tcp/udp协议，客户端访问kdc服务时，默认先使用udp协议发起请求，如果数据包过大或者请求失败，然后再换用tcp协议请求。

kdc默认支持tcp/udp协议，当然ipv4/ipv6都兼容

kadmin只支持tcp协议，ipv4/ipv6都兼容

如果某些场景客户端只支持tcp，那么也可以修改配置使客户端访问kdc时总是使用tcp协议。

该配置项如下：

udp_preference_limit = 1

资料：

https://docs.oracle.com/cd/E37459_01/E37463/html/ad-auth.html#ad-auth-kerberos-protocols

https://docs.oracle.com/cd/E19253-01/819-7061/seamov-62/index.html

https://www.oreilly.com/library/view/kerberos-the-definitive/0596004036/ch06s05s01.html

/etc/krb5.conf客户端配置文件

ticket_lifetime ：票据的有效期，默认为1d；

时间单位一般有d/h/m/s等

renew_lifetime ：票据的可再生期限可延长至指定时间；

要求延长有效期的操作需要在ticket_lifetime 到达前完成，否则后续将不能再延长有效期，且有效期只能验证一次；

默认为0；

时间单位一般有d/h/m/s等

kdc.conf配置文件

max_life ：票据默认的有效期，默认值是1d

max_renewable_life ：票据默认的最大可再生时间，默认是0

默认创建的principal的票据有效期及最大可再生时间是由kdc.conf配置文件确定的：

kinit命令参数确定票据有效期

kinit --help

-l lifetime 通过命令行修改票据的有效期

-s start time 默认票据生效的时间是获取到票据的时刻，可通过命令行修改票据开始生效的时间

-r renewable lifetime 通过命令行参数修改票据的可再生时间

创建了一个principal后，如果想要改变票据的有效期，一般来说kdc.conf文件不轻易变化，因为它是服务端配置文件，需要重启生效，所以可改变的就是krb5.conf文件以及通过命令行参数的方式了，做验证时，生成的票据的有效期由krb5.conf、kdc.conf和命令行参数这3者中的最小值决定：

如：

有效期是1天，可再生时间是7天，即最大有效期可延长至7天。

现在修改一下有效期：

1）通过krb5.conf

票据有效期改为5min：

有效期变为5分钟了：

2）通过命令行参数

通过命令行参数将有效期改为1min：

资料：

https://www.jianshu.com/p/54cd2a659698

方案1

通过/etc/hosts文件指定ip与域名的唯一映射关系，由此可以解决多域名映射导致kdc验证失败的问题

方案2

在/etc/krb5.conf配置文件的[libdefaults]模块下加上配置项rdns=false，这样也可以解决ip多域名映射问题导致的kdc验证失败

修改/etc/krb5.conf配置文件

在libdefaults模块下添加配置项default_ccache_name，并指定cache type为DIR，然后指定票据的缓存路径。

互联网让任何人都能伪装成为他们想成为的人。这就容易被黑客和垃圾邮件发送者利用，从而出现问题。这就是为什么要设置一些障碍来识别访客的身份。那么什么是PTR以及网站服务器为什么要设置PTR？

当公司发送大量的电子邮件时，有些网站服务器可能会拒收该邮件，如果它不能验证发送邮件的网站来源或IP地址。如果没有任何信息指向发送邮件的公司，那么电子邮件服务器不能确定该邮件是否来自垃圾邮件发送者。

PTR记录是域名系统（DNS）使用的记录之一，它充当互联网的目录。虽然DNS通常使用域名来定位IP地址，但是反向DNS却在PTR记录的帮助下反其道而行之。

PTR记录有多种用途，但它们主要用于安全性。大多数电子邮件服务器在反垃圾邮件检查时使用它们。但是反向 DNS 也可以用于营销目的，查找使用网站的访问者的IP地址。了解PTR记录可以提高网站开发技能，帮助电子邮件营销采取预防措施。

PTR记录是域名系统的一部分

DNS是将网站地址（URL）链接到IP地址的过程。当有人搜索某个URL时，该查询会被ping到多个域名服务器，直到找到IP地址并传送回计算机。这可以称为前向DNS查找。

域名服务器存储有多个DNS记录，例如向正确的邮件服务器发送电子邮件的邮件交换条目。基本DNS记录是将域连接到IP地址的A记录，即地址记录。

反向DNS（rDNS）则相反，这意味着它使用IP地址来查找域名。这个过程涉及到PTR。

什么是PTR记录？

简单地说，PTR记录与A记录相反。PTR记录作为一个识别因素，能够确认IP地址指向主机。

PTR记录非常简单，包含主机名、IP地址和生效时间（TLL），即信息在被丢弃之前的停留时间。

PTR有何用处？

PTR记录大多用于安全和验证。大多数标准的电子邮件服务器，如Gmail和雅虎邮件都使用反向DNS的反垃圾邮件过滤器。这样可以确保电子邮件地址中的域名连接到这些IP地址。

电子邮件营销人员一定设置PTR记录。

如果遇到其他电子邮件问题，如退信或阻止电子邮件，这可能是由于丢失或配置了错误的PTR记录。

反向DNS在其他方面也有帮助。B2B公司可以使用那些访问其网站的人的IP地址来获取有关其受众的有用信息。

需要PTR记录吗？

简而言之，是需要的。PTR记录可以节省时间，防止出现问题。电子邮件是商业中不可缺少的一部分，在问题出现之前就提前做好准备是至关重要的。谷歌推荐PTR记录作为其最佳实践的一部分。

PTR记录不仅提供了验证，有助于使电子邮件过程更加顺畅，而且还为用户提供了可信度。

没有人希望自己的邮件被退信或被发送到垃圾邮件。这样不仅损害了企业的可信度，客户也想知道为什么电子邮件没有发送到他们的收件箱。

好消息是PTR记录很容易配置。

主机平台可以控制DNS记录。在选定的主机计划的cPanel上提供易于管理的DNS记录。

还可以使用MX Toolbox等工具确保所有设置都正确。

PTR在反向DNS查找期间使用，它们将IP地址连接到主机名。

PTR记录用于验证。邮件服务器使用它们来确保电子邮件的来源正确且可靠。而大多数电子邮件服务器在反垃圾邮件检查中搜索PTR记录。

DNS是确保网站和流量正常运行的一个重要部分。

以上就是什么是PTR以及网站服务器为什么要设置PTR的全部内容。

---