kerberos 配置解决常见问题

kerberos 配置解决常见问题,第1张

kdc原生支持tcp/udp协议,客户端访问kdc服务时,默认先使用udp协议发起请求,如果数据包过大或者请求失败,然后再换用tcp协议请求。

kdc默认支持tcp/udp协议,当然ipv4/ipv6都兼容

kadmin只支持tcp协议,ipv4/ipv6都兼容

如果某些场景客户端只支持tcp,那么也可以修改配置使客户端访问kdc时总是使用tcp协议。

该配置项如下:

udp_preference_limit = 1

资料:

https://docs.oracle.com/cd/E37459_01/E37463/html/ad-auth.html#ad-auth-kerberos-protocols

https://docs.oracle.com/cd/E19253-01/819-7061/seamov-62/index.html

https://www.oreilly.com/library/view/kerberos-the-definitive/0596004036/ch06s05s01.html

/etc/krb5.conf客户端配置文件

ticket_lifetime :票据有效期,默认为1d;

时间单位一般有d/h/m/s等

renew_lifetime :票据的可再生期限可延长至指定时间;

要求延长有效期的操作需要在ticket_lifetime 到达前完成,否则后续将不能再延长有效期,且有效期只能验证一次;

默认为0;

时间单位一般有d/h/m/s等

kdc.conf配置文件

max_life :票据默认的有效期,默认值是1d

max_renewable_life :票据默认的最大可再生时间,默认是0

默认创建的principal的票据有效期及最大可再生时间是由kdc.conf配置文件确定的:

kinit命令参数确定票据有效期

kinit --help

-l lifetime 通过命令行修改票据的有效期

-s start time 默认票据生效的时间是获取到票据的时刻,可通过命令行修改票据开始生效的时间

-r renewable lifetime 通过命令行参数修改票据的可再生时间

创建了一个principal后,如果想要改变票据的有效期,一般来说kdc.conf文件不轻易变化,因为它是服务端配置文件,需要重启生效,所以可改变的就是krb5.conf文件以及通过命令行参数的方式了,做验证时,生成的票据的有效期由krb5.conf、kdc.conf和命令行参数这3者中的最小值决定:

如:

有效期是1天,可再生时间是7天,即最大有效期可延长至7天。

现在修改一下有效期:

1)通过krb5.conf

票据有效期改为5min:

有效期变为5分钟了:

2)通过命令行参数

通过命令行参数将有效期改为1min:

资料:

https://www.jianshu.com/p/54cd2a659698

方案1

通过/etc/hosts文件指定ip与域名的唯一映射关系,由此可以解决多域名映射导致kdc验证失败的问题

方案2

在/etc/krb5.conf配置文件的[libdefaults]模块下加上配置项rdns=false,这样也可以解决ip多域名映射问题导致的kdc验证失败

修改/etc/krb5.conf配置文件

在libdefaults模块下添加配置项default_ccache_name,并指定cache type为DIR,然后指定票据的缓存路径。

互联网让任何人都能伪装成为他们想成为的人。这就容易被黑客和垃圾邮件发送者利用,从而出现问题。这就是为什么要设置一些障碍来识别访客的身份。那么什么是PTR以及网站服务器为什么要设置PTR?

当公司发送大量的电子邮件时,有些网站服务器可能会拒收该邮件,如果它不能验证发送邮件的网站来源或IP地址。如果没有任何信息指向发送邮件的公司,那么电子邮件服务器不能确定该邮件是否来自垃圾邮件发送者。

PTR记录是域名系统(DNS)使用的记录之一,它充当互联网的目录。虽然DNS通常使用域名来定位IP地址,但是反向DNS却在PTR记录的帮助下反其道而行之。

PTR记录有多种用途,但它们主要用于安全性。大多数电子邮件服务器在反垃圾邮件检查时使用它们。但是反向 DNS 也可以用于营销目的,查找使用网站的访问者的IP地址。了解PTR记录可以提高网站开发技能,帮助电子邮件营销采取预防措施。

PTR记录是域名系统的一部分

DNS是将网站地址(URL)链接到IP地址的过程。当有人搜索某个URL时,该查询会被ping到多个域名服务器,直到找到IP地址并传送回计算机。这可以称为前向DNS查找。

域名服务器存储有多个DNS记录,例如向正确的邮件服务器发送电子邮件的邮件交换条目。基本DNS记录是将域连接到IP地址的A记录,即地址记录。

反向DNS(rDNS)则相反,这意味着它使用IP地址来查找域名。这个过程涉及到PTR。

什么是PTR记录?

简单地说,PTR记录与A记录相反。PTR记录作为一个识别因素,能够确认IP地址指向主机。

PTR记录非常简单,包含主机名、IP地址和生效时间(TLL),即信息在被丢弃之前的停留时间。

PTR有何用处?

PTR记录大多用于安全和验证。大多数标准的电子邮件服务器,如Gmail和雅虎邮件都使用反向DNS的反垃圾邮件过滤器。这样可以确保电子邮件地址中的域名连接到这些IP地址。

电子邮件营销人员一定设置PTR记录。

如果遇到其他电子邮件问题,如退信或阻止电子邮件,这可能是由于丢失或配置了错误的PTR记录。

反向DNS在其他方面也有帮助。B2B公司可以使用那些访问其网站的人的IP地址来获取有关其受众的有用信息。

需要PTR记录吗?

简而言之,是需要的。PTR记录可以节省时间,防止出现问题。电子邮件是商业中不可缺少的一部分,在问题出现之前就提前做好准备是至关重要的。谷歌推荐PTR记录作为其最佳实践的一部分。

PTR记录不仅提供了验证,有助于使电子邮件过程更加顺畅,而且还为用户提供了可信度。

没有人希望自己的邮件被退信或被发送到垃圾邮件。这样不仅损害了企业的可信度,客户也想知道为什么电子邮件没有发送到他们的收件箱。

好消息是PTR记录很容易配置。

主机平台可以控制DNS记录。在选定的主机计划的cPanel上提供易于管理的DNS记录。

还可以使用MX Toolbox等工具确保所有设置都正确。

PTR在反向DNS查找期间使用,它们将IP地址连接到主机名。

PTR记录用于验证。邮件服务器使用它们来确保电子邮件的来源正确且可靠。而大多数电子邮件服务器在反垃圾邮件检查中搜索PTR记录。

DNS是确保网站和流量正常运行的一个重要部分。

以上就是什么是PTR以及网站服务器为什么要设置PTR的全部内容。


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/221880.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-04-07
下一篇2023-04-07

发表评论

登录后才能评论

评论列表(0条)

    保存