krb5.conf 中的服务器选择答案

【问题标题】：Server selection in krb5.confkrb5.conf 中的服务器选择
【发布时间】：2020-04-30 13:04:47
【问题描述】：

我有一个关于客户端上的 Kerberos 配置 (krb5.conf) 的一般性问题。

如果我为 RHEL8 客户端提供多台 AD 服务器进行身份验证（一台在美国，一台在欧洲，一台在亚洲），如果我想从德国连接，客户端将使用哪台服务器？

krb5.conf

        AD.COMPANY.COM = {
        kdc = us-server.ad.company.com
        kdc = eu-server.ad.company.com
        kdc = asia-server.ad.company.com
        }

是服务器列表从上到下处理的枯燥，还是使用响应最快的服务器？

问候 D1Ck3n

【问题讨论】：

我在回答中添加了更多细节。如果这回答了您的问题，请将其标记为此类，否则请告知我们。
看来天鹭的回答是对的，几天前就贴出来了。您应该将此标记为已回答。
您似乎没有回应 cmets 和答案。这不是这个网站应该工作的方式。 -1 的问题。

标签： active-directory redhat kerberos

【解决方案1】：

为了详细说明 T-Herons 的回答，如果它响应最快的回答，那将是一个安全漏洞。想象一下，我知道三台服务器中的一台以一种无效哈希可以通过的方式存储密码，我可以通过数据包洪水或 DDOS 减慢另外两台的速度，并强制易受攻击的服务器每次都首先响应。

这样的设计缺陷通常可以在大多数计算机系统中被利用（例如，尤其是网络等）。因此，假设在任何处理身份验证的情况下您一次处理一个身份验证是“安全的”。

【讨论】：

感谢您的详细解释！这一切都说得通！我问这个是因为我目前正在开发一个 Ansible Playbook，它应该通过 ipa Role 加入 iDM，然后登录到附近最近的 AD 服务器。
可以肯定的是，在没有在 krb5.conf 中明确定义的 KDC 的情况下，支持 Kerberos 的客户端将通过 DNS SRV _kerberos 记录搜索 KDC 的位置。但是 krb5.conf 中列出的任何 KDC 都将优先于 DNS SRV 记录。
我相信你可以克服使用缓存中毒的问题