কার্বেরোস: এএস এবং টিজিএস পৃথক করে

9

কার্বেরোসে, প্রমাণীকরণ সার্ভার (এএস) এবং টিকিট গ্রান্টিং সার্ভার (টিজিএস) সাধারণত একই সার্ভারে প্রয়োগ করা হয়। এই যন্ত্রটিকে কী বিতরণ কেন্দ্র (কেডিসি) বলা হয়।

অবশ্যই, এই পরিষেবাগুলি একই শারীরিক মেশিনে প্রয়োগ করা বোধগম্য, যেমন ছোট এবং মাঝারি আকারের নেটওয়ার্কগুলিতে এই দুটি পরিষেবা পৃথক করার জন্য ওভারকিল হবে। অতিরিক্তভাবে, আমার কাছে একটি তুলনামূলক নির্ভরযোগ্য উত্স রয়েছে, যা বলে (অনুবাদ করা):

টিজিএস এবং এএসকে একই ডিবি অ্যাক্সেস করতে হবে => এটি বিভিন্ন মেশিনে টিজিএস এবং এএস প্রয়োগ করতে খুব বেশি অর্থবোধ করে না

তবে আমি দেখতে পাচ্ছি না যে দুজনের মধ্যে কোন ডাটাবেস ভাগ করে নেওয়া উচিত।

এটি আমার ধারণা, আমি কীভাবে এএস এবং টিজিএসকে আলাদা করব, কোনও ভাগ করা ডাটাবেস নেই:

  • এএস এবং টিজিএস পৃথক হওয়ার সাথে সাথে তাদের আলাদা মাস্টার সিক্রেট রয়েছে
  • এএস-এর সমস্ত ব্যবহারকারীদের নিজ নিজ মাস্টার সিক্রেট (ব্যবহারকারী সেশন ইনটি এনক্রিপ্ট করার সময় ব্যবহার করে), পাশাপাশি টিজিএসের মাস্টার সিক্রেট (অনুরোধকৃত টিজিটি এনক্রিপ্ট করার জন্য) সহ একটি ডেটাবেস থাকে।
  • টিজিএসের একটি ডাটাবেস রয়েছে, যা কোন ব্যবহারকারীকে কোন পরিষেবা (এসিএল, প্রত্যাহার তালিকা, ...) ব্যবহারের অনুমতি দেয় তা নির্ধারণ করার পাশাপাশি সেই সাথে তাদের স্বীয় মাস্টার সিক্রেটস (টিকিট এনক্রিপ্ট করতে) সহ সমস্ত পরিষেবা সহ একটি ডেটাবেস ব্যবহার করতে পারে।

যখন কোনও ব্যবহারকারী কোনও পরিষেবা ব্যবহার করতে চান (সরলীকৃত):

  • AS এ প্রমাণীকরণ করুন
  • টিজিএস মাস্টার সিক্রেটের সাথে এনক্রিপ্ট করা টিকিট মঞ্জুরি টিকিট (টিজিটি) পান, পাশাপাশি সেশন কীটি ব্যবহারকারীর মাস্টার সিক্রেটে এনক্রিপ্ট করা।
  • টিজিটির সাথে টিজিএসের সাথে যোগাযোগ করুন
  • পরিষেবার মাস্টার সিক্রেটে এনক্রিপ্ট করা টিকিট পান
  • টিকিটের সাথে পরিষেবাটিতে যোগাযোগ করুন

আমি কি কিছু মিস করছি, বা এএস এবং টিজিএসকে আলাদা করার ক্ষেত্রে আসলেই কোনও সমস্যা নেই?

kerberos 
Misch
সূত্র
1
মনে হচ্ছে আপনি কার্বেরোস ইন্টার্নালগুলির মধ্যে অনেক গভীর। স্কেল করার স্বাভাবিক উপায় হ'ল আরও কেডিসি যুক্ত করা, তাই আপনি কী অর্জন করতে চাইছেন তা আমি সত্যিই নিশ্চিত নই।
মাইকেল হ্যাম্পটন
1
ডান - আপনি আসলে কোন সমস্যার মুখোমুখি হয়েছিলেন, যে আপনি সমাধানের চেষ্টা করছেন?
mfinni
1
আমি কোনও কংক্রিট সমস্যা সমাধানের চেষ্টা করছি না। আমি ঠিক এখন মুহূর্তে এটি ব্যবহার না করে কেবল কারবারোস ইন্টার্নালগুলি (একটি পরীক্ষার জন্য) বোঝার চেষ্টা করছি। প্রশ্নটি নিখুঁত তাত্ত্বিক একটি, আমি কেবল জানতে চাই যে আমি কিছু ভুল বুঝতে পেরেছি বা আমার প্রশ্নের উদ্ধৃতিটি সম্পূর্ণ সঠিক নয় কিনা।
Misch

উত্তর:

4

আপনার প্রশ্ন সমস্ত তত্ত্ব। সুতরাং আমি সদয়ভাবে উত্তর করব। এএস এবং টিজিএস লজিকাল সার্ভার এবং এগুলি হিসাবে তারা তাত্ত্বিকভাবে পৃথক হতে পারে। তবে বাস্তবে আলাদা মেশিনে এগুলি প্রয়োগ করার কোনও ভাল কারণ নেই এবং তাই বাস্তবে কেউ তা করেন না। এমনকি কার্বেরোস প্রমাণীকরণের ক্ষেত্রে বিশ্বের বৃহত্তম, ব্যস্ততম নেটওয়ার্কগুলির কেডিসির লজিক্যাল উপাদানগুলি আলাদা করার দরকার নেই। কার্বেরোস-এর বাস্তব জীবনের বাস্তবায়নে, AS-র প্রয়োজনীয় সমস্ত ডেটা এবং টিজিএস-এর যে সমস্ত ডেটা প্রয়োজন তা সমস্ত একই ডাটাবেসে সংরক্ষণ করা হয়। এটি তাত্ত্বিকভাবে পৃথক হতে পারে তবে এটি করার উপযুক্ত কোনও কারণ নেই এবং অকারণে বাস্তবায়নকে জটিল করে তোলা ছাড়া কিছুই করার থাকবে না।

রায়ান রিস
সূত্র
1
এএস এবং টিজিএস পৃথক করার সময় আমি কেবল আরেকটি সমস্যা পেয়েছি: কেবল এএস থেকে টিজিটি পাওয়া সম্ভব নয়, আপনি অন্য যে কোনও পরিষেবার জন্য টিকিটও চাইতে পারেন (উদাহরণস্বরূপ যদি আপনি জানেন যে আপনার কেবল এই একটি টিকিটের প্রয়োজন হবে, তাই) টিজিটি এর মাধ্যমে ডিটোরের প্রয়োজন নেই)। এর অর্থ হ'ল এএসকে অতিরিক্ত সমস্ত ডেটা প্রয়োজন যা আমি ধরে নিলাম কেবল টিজিএসের প্রয়োজন।
Misch
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.