CDH kerberos keytab文件的安全性求教

不好意思，未找到对应板块，借地一用。
我安装cdh集成了kerberos认证，现在有个问题，生产环境中使用keytab文件认证，keytab文件的安全性怎么保证，400权限是可以限制用户使用，但如果有用户将该文件拷贝到别的机器，不也可以在其他客户端认证了么。
kerberos有没有一种机制可以将keytab和主机绑定，只能在指定客户端上用该文件进行认证？？？

这个不会的，里面应该包含比较多的信息。通信信息包括：
Session Key和用户名，用户地址（IP），服务名，有效期, 时间戳一起包装成一个Ticket

如果不确定，楼主可以测试下

einhep 发表于 2017-2-7 10:06
这个不会的，里面应该包含比较多的信息。通信信息包括：
Session Key和用户名，用户地址（IP），服务名， ...

xx.keytab文件在每台客户端都可以认证啊
他里面怎么和用户ip关联呢，并没有找到这方面的设置，还请赐教

aalfalfa 发表于 2017-2-7 10:41
xx.keytab文件在每台客户端都可以认证啊
他里面怎么和用户ip关联呢，并没有找到这方面的设置，还请赐教

Kerberos principal用于在kerberos加密系统中标记一个唯一的身份。
kerberos为kerberos principal分配tickets使其可以访问由kerberos加密的hadoop服务。
对于hadoop，principals的格式为username/fully.qualified.domain.name@YOUR-REALM.COM.
keytab是包含principals和加密principal key的文件。
keytab文件对于每个host是唯一的，因为key中包含hostname。keytab文件用于不需要人工交互和保存纯文本密码，实现到kerberos上验证一个主机上的principal。
因为服务器上可以访问keytab文件即可以以principal的身份通过kerberos的认证，所以，keytab文件应该被妥善保存，应该只有少数的用户可以访问。