Tag: spn

你可以创build主机名是灵活的Kerberos主体？ （泊坞）

我特意试图用Apache Storm（1.0.2）来做到这一点，但它与任何使用Kerberos保护的服务都是相关的。 我试图在Docker中运行安全的Storm集群。 Storm有很多现成的docker图片，而且他们的工作很不安全。 我使用https://github.com/Baqend/docker-storm 。 我也有Storm在RHEL VM上安全运行。 但是，我的理解是Kerberos将主机名与主体绑定，所以如果我为客户端提供服务foobar，则需要创buildfoobar/hostname@REALM的主体。 然后，一个客户端服务可能会连接到hostname与主要foobar ，Kerberos将查找foobar/hostname@REALM在其数据库中，发现它在那里（因为我们创build一个正是这个名字的主体），一切都会工作。 在我的情况下，这里描述： https : //docs.hortonworks.com/HDPDocuments/HDP2/HDP-2.3.0/bk_installing_manually_book/content/configure_kerberos_for_storm.html 。 nimbusauthentication为storm/<nimbus host>@REALM ，主pipe和外部客户authentication为storm/REALM 。 一切正常。 但在2017年，我们有容器和主机名不再是静态的。 那么，我将如何Kerberize在Docker数据中心（或Kubernetes等）中运行的服务？ 我必须将未知的主机名附加到服务器身份validation。 我想我可以为所有可能的主机名创build一个主体，并根据容器的存储位置在启动时dynamic地select正确的主体，但这就是kludgy。 我误解了Kerberos的工作原理吗？ 这里有没有解决方法，我不明白？ 我在网上看到多个在Docker上运行Storm的人的例子，但我无法想象没有人的群集是安全的。