Kerberos в производстве на виртуальных машинах
В данный момент я исследую возможность использовать Kerberos в качестве основного протокола аутентификации для нашей облачной структуры. Мы, вероятно, выполним с этой идеей, и ради HA наилучшим вариантом были бы несколько виртуальных машин. Я знаю, что существуют некоторые проблемы с виртуальными средами и Kerberos, особенно по темам случайности и энтропии. Это - мое понимание, что Kerberos нужен прямой доступ к оборудованию, но я не уверен, имеет ли это все еще место.
На любой из тестовых сред MIT Kerberos работает без любых сложностей на виртуальном аппаратном обеспечении. Вопрос, действительно ли это - рекомендуемая установка для продуктивной среды?
Kerberos прекрасно работает в виртуальных машинах и работает с тех пор, как виртуальные машины стали вещью. Понятия не имею, почему кто-то может предположить, что это не так.
Единственное возможное осложнение, которое у вас может возникнуть, это необходимость синхронизации часов виртуальной машины, хотя и самые свежие версии Kerberos (т.е. настолько новые, что только передовые дистрибутивы Linux еще не выпустили их) устранили требование синхронизации часов.
Что касается случайных чисел, по моему опыту, Kerberos на самом деле не нуждается в таком количестве криптографически сильных случайных данных. Недостаточно, чтобы опустошить пул энтропии и начать блокировать вещи. И даже если бы это было так, у вас есть такие решения, как паравиртуализированный RNG от KVM.
Вот энтропийный пул за последний день для виртуализированного KDC:
Здесь нет реальной существенной проблемы с исчерпанием энтропии.
Однако, вашему собственному KDC может понадобиться многое из этого. Положите его под какую-нибудь нагрузку и посмотрите, что произойдет.