kdc原生支持tcp/udp协议,客户端访问kdc服务时,默认先使用udp协议发起请求,如果数据包过大或者请求失败,然后再换用tcp协议请求。
kdc默认支持tcp/udp协议,当然ipv4/ipv6都兼容
kadmin只支持tcp协议,ipv4/ipv6都兼容
如果某些场景客户端只支持tcp,那么也可以修改配置使客户端访问kdc时总是使用tcp协议。
该配置项如下:
udp_preference_limit = 1
资料:
https://docs.oracle.com/cd/E37459_01/E37463/html/ad-auth.html#ad-auth-kerberos-protocols
https://docs.oracle.com/cd/E19253-01/819-7061/seamov-62/index.html
https://www.oreilly.com/library/view/kerberos-the-definitive/0596004036/ch06s05s01.html
/etc/krb5.conf客户端配置文件
ticket_lifetime :票据的有效期,默认为1d;
时间单位一般有d/h/m/s等
renew_lifetime :票据的可再生期限可延长至指定时间;
要求延长有效期的操作需要在ticket_lifetime 到达前完成,否则后续将不能再延长有效期,且有效期只能验证一次;
默认为0;
时间单位一般有d/h/m/s等
kdc.conf配置文件
max_life :票据默认的有效期,默认值是1d
max_renewable_life :票据默认的最大可再生时间,默认是0
默认创建的principal的票据有效期及最大可再生时间是由kdc.conf配置文件确定的:
kinit命令参数确定票据有效期
kinit --help
-l lifetime 通过命令行修改票据的有效期
-s start time 默认票据生效的时间是获取到票据的时刻,可通过命令行修改票据开始生效的时间
-r renewable lifetime 通过命令行参数修改票据的可再生时间
创建了一个principal后,如果想要改变票据的有效期,一般来说kdc.conf文件不轻易变化,因为它是服务端配置文件,需要重启生效,所以可改变的就是krb5.conf文件以及通过命令行参数的方式了,做验证时,生成的票据的有效期由krb5.conf、kdc.conf和命令行参数这3者中的最小值决定:
如:
有效期是1天,可再生时间是7天,即最大有效期可延长至7天。
现在修改一下有效期:
1)通过krb5.conf
票据有效期改为5min:
有效期变为5分钟了:
2)通过命令行参数
通过命令行参数将有效期改为1min:
资料:
https://www.jianshu.com/p/54cd2a659698
方案1
通过/etc/hosts文件指定ip与域名的唯一映射关系,由此可以解决多域名映射导致kdc验证失败的问题
方案2
在/etc/krb5.conf配置文件的[libdefaults]模块下加上配置项rdns=false,这样也可以解决ip多域名映射问题导致的kdc验证失败
修改/etc/krb5.conf配置文件
在libdefaults模块下添加配置项default_ccache_name,并指定cache type为DIR,然后指定票据的缓存路径。
互联网让任何人都能伪装成为他们想成为的人。这就容易被黑客和垃圾邮件发送者利用,从而出现问题。这就是为什么要设置一些障碍来识别访客的身份。那么什么是PTR以及网站服务器为什么要设置PTR?
当公司发送大量的电子邮件时,有些网站服务器可能会拒收该邮件,如果它不能验证发送邮件的网站来源或IP地址。如果没有任何信息指向发送邮件的公司,那么电子邮件服务器不能确定该邮件是否来自垃圾邮件发送者。
PTR记录是域名系统(DNS)使用的记录之一,它充当互联网的目录。虽然DNS通常使用域名来定位IP地址,但是反向DNS却在PTR记录的帮助下反其道而行之。
PTR记录有多种用途,但它们主要用于安全性。大多数电子邮件服务器在反垃圾邮件检查时使用它们。但是反向 DNS 也可以用于营销目的,查找使用网站的访问者的IP地址。了解PTR记录可以提高网站开发技能,帮助电子邮件营销采取预防措施。
PTR记录是域名系统的一部分
DNS是将网站地址(URL)链接到IP地址的过程。当有人搜索某个URL时,该查询会被ping到多个域名服务器,直到找到IP地址并传送回计算机。这可以称为前向DNS查找。
域名服务器存储有多个DNS记录,例如向正确的邮件服务器发送电子邮件的邮件交换条目。基本DNS记录是将域连接到IP地址的A记录,即地址记录。
反向DNS(rDNS)则相反,这意味着它使用IP地址来查找域名。这个过程涉及到PTR。
什么是PTR记录?
简单地说,PTR记录与A记录相反。PTR记录作为一个识别因素,能够确认IP地址指向主机。
PTR记录非常简单,包含主机名、IP地址和生效时间(TLL),即信息在被丢弃之前的停留时间。
PTR有何用处?
PTR记录大多用于安全和验证。大多数标准的电子邮件服务器,如Gmail和雅虎邮件都使用反向DNS的反垃圾邮件过滤器。这样可以确保电子邮件地址中的域名连接到这些IP地址。
电子邮件营销人员一定设置PTR记录。
如果遇到其他电子邮件问题,如退信或阻止电子邮件,这可能是由于丢失或配置了错误的PTR记录。
反向DNS在其他方面也有帮助。B2B公司可以使用那些访问其网站的人的IP地址来获取有关其受众的有用信息。
需要PTR记录吗?
简而言之,是需要的。PTR记录可以节省时间,防止出现问题。电子邮件是商业中不可缺少的一部分,在问题出现之前就提前做好准备是至关重要的。谷歌推荐PTR记录作为其最佳实践的一部分。
PTR记录不仅提供了验证,有助于使电子邮件过程更加顺畅,而且还为用户提供了可信度。
没有人希望自己的邮件被退信或被发送到垃圾邮件。这样不仅损害了企业的可信度,客户也想知道为什么电子邮件没有发送到他们的收件箱。
好消息是PTR记录很容易配置。
主机平台可以控制DNS记录。在选定的主机计划的cPanel上提供易于管理的DNS记录。
还可以使用MX Toolbox等工具确保所有设置都正确。
PTR在反向DNS查找期间使用,它们将IP地址连接到主机名。
PTR记录用于验证。邮件服务器使用它们来确保电子邮件的来源正确且可靠。而大多数电子邮件服务器在反垃圾邮件检查中搜索PTR记录。
DNS是确保网站和流量正常运行的一个重要部分。
以上就是什么是PTR以及网站服务器为什么要设置PTR的全部内容。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)