Kerberos面试内容整理-Kerberos 的配置与排障

正确配置 Kerberos 对其正常工作至关重要。在Linux/Unix环境下，Kerberos配置通常通过编辑配置文件（例如 /etc/krb5.conf）完成。其中指定了Realm名称、KDC和管理员服务器地址、默认域到Realm的映射等参数。管理员需要在KDC端初始化数据库并创建主体（可以使用 kadmin 等工具添加用户/服务主体，设置密码或生成密钥表）。对于需要Kerberos认证的服务器进程，需要将其服务主体及密钥存入该主机上的密钥表文件（keytab，例如 /etc/krb5.keytab），以便服务程序能够解密客户端票据。Windows环境下，域控制器自动充当KDC，工作站和服务器加入域时会自动配置Kerberos客户端参数；服务账户的SPN注册和密钥管理通过AD用户和计算机、setspn、ktpass等工具进行。例如，使用setspn注册HTTP服务的SPN，使用ktpass导出