Я настроил и включил среду, которая выполняет бесшовную аутентификацию X.509 / Kerberos для устройств iOS. Проблема безопасности заключается в том, что KDC должен быть доступен в общедоступном Интернете, чтобы это работало. Я пытаюсь определить лучший способ смягчить это.
Я подумываю о развертывании «подчиненного» KDC в облаке, у которого есть только общедоступные пользовательские сертификаты, которые будут иметь VPN-соединение с контроллером домена / kdc в корпоративной сети. Оба KDC будут находиться в разных сферах, и поскольку выпущенные служебные билеты будут поступать из общедоступного KDC, они не могут быть использованы для злонамеренных действий в корпоративном частном KDC (если они должны получить доступ к сети).
Это сработает? Как мне заставить эти два KDC разговаривать друг с другом?
Примечание. У меня также есть система SSO SAML в этом сочетании, которая объединяет успешную аутентификацию с другими системами.
См. Также Security.SE:
Я не понимаю, какую выгоду дает вам копия KDC в частной сети. Kerberos с самого начала предназначался для ненадежных сетей.
Защитите его, как базу данных хешированных паролей. Запустите KDC с выходом в Интернет с минимумом услуг и максимальной тщательностью при входе в систему и сетевом трафике. Возможно, заказывайте тест на проникновение, чтобы третья сторона искала недостатки, которых вы не видите.