为什么应用程序需要服务主体来保护自身并验证他人的身份？答案

【问题标题】：Why is service principals needed for an application to secure itself and to authenticate others?为什么应用程序需要服务主体来保护自身并验证他人的身份？
【发布时间】：2016-06-09 05:31:39
【问题描述】：

目前我正在配置 Hadoop 以使用 MIT kerberos 来保护其访问。作为其中的一部分，我们必须使用主机名创建几个专用于每个服务的服务主体。

但是，我不明白服务主体的使用。为什么/如何应用服务器需要它来验证其他用户的服务票证？

我无法获得应用程序服务器对尝试使用它的用户进行身份验证所遵循的过程/步骤。

我按照以下博客了解生成服务票证所采取的步骤顺序。但是，它没有解释应用服务器如何使用服务票证来识别用户。谁能解释一下这一步。

http://www.markwilson.co.uk/blog/2005/06/kerberos-authentication-explained.htm

【问题讨论】：

服务票证不是关于身份验证（这是TGT的工作），而是关于授权——好的，你是用户A，但是您可以连接到主机 KK 上的服务 Z 吗？ fr.slideshare.net/steve_l/…

标签： hadoop authentication kerberos kerberos-delegation mit-kerberos

【解决方案1】：

为什么应用服务器需要服务主体来验证其他用户的服务票证？

服务原理是一种抽象，它代表 kerberos 领域中的应用程序服务器。服务原则就像用户原则一样有密码。此密码的一个副本存储在 KDC 中，另一个副本存储在带有应用程序服务器的主机上的一个特殊文件中，称为 keytab。因此，特定应用服务器的票证由 KDC 用相应的密码加密，只能由应用服务器解密。

应用程序服务器遵循哪些步骤来验证尝试使用它的用户？

应用服务器从用户那里获取服务票证，并用它自己的服务主体密码副本对其进行解密。比它获取服务票证的原始内容。

应用服务器如何使用服务票证来识别用户？

服务票的原始内容包含用户名，仅此而已。

【讨论】：