Správa KeyTab¶
Správa životního cyklu Kerberos KeyTab — Import, discovery, soulad šifer a monitoring
Verze dokumentu: 1.0.0
Poslední aktualizace: 2026-04-19
Od verze v1.0.38
1. Přehled¶
MazeVault poskytuje enterprise správu životního cyklu Kerberos KeyTab. Můžete importovat, objevovat a spravovat keytab soubory napříč infrastrukturou s kompletním audit trailem, historií verzí a vynucováním souladu šifer.
Klíčové schopnosti¶
| Funkce | Popis |
|---|---|
| Import a parsování | Nahrání keytab binárních souborů s automatickou extrakcí metadat |
| Discovery agentem | Agenti automaticky objevují keytab soubory na spravovaných hostech |
| Šifrovací politika | Soulad šifer na úrovni organizace s konfigurovatelným vynucením |
| Historie verzí | Neměnitelné záznamy verzí pro každou aktualizaci keytabu |
| Dashboard | Přehled inventáře keytabů, souladu a exspirace v reálném čase |
| Režim Orchestrátora | Ukládání pouze metadat s externím odesláním klíčů |
2. Import KeyTab¶
2.1 Ruční import¶
Přejděte na Správa KeyTab v hlavním menu pro import keytab souboru.
- Klikněte na Import KeyTab
- Zadejte zobrazovaný název a volitelný popis
- Nahrajte
.keytabsoubor (base64 kódovaný, max 10 MB) - Volitelně přiřaďte k projektu a nastavte datum exspirace
- Klikněte na Import
MazeVault automaticky:
- Parsuje MIT Kerberos v2 binární formát
- Extrahuje principály, realmy, verze klíčů (KVNO) a typy šifrování
- Vypočítá SHA-256 otisk pro deduplikaci
- Šifruje binární keytab pomocí AES-256-GCM před uložením
- Vyhodnotí soulad šifer vůči politice vaší organizace
Detekce duplikátů
Pokud keytab se stejným principálem, realmem a projektem již existuje, import bude odmítnut. Místo toho aktualizujte existující keytab.
2.2 Import z objevených keytabů¶
Agenti, kteří objeví keytab soubory na spravovaných hostech, je nahlásí do MazeVault. Objevené keytaby můžete importovat do spravovaného inventáře:
- Přejděte na Správa KeyTab → Objevené
- Projděte seznam objevených keytabů (filtrovaný podle agenta, stavu nebo souladu)
- Klikněte na Import u objeveného keytabu
- Volitelně přiřaďte název, projekt a datum exspirace
- Keytab přejde ze stavu
discovereddo stavumanaged
3. Discovery agentem¶
Agenti MazeVault automaticky skenují spravované hosty na .keytab a .keystore soubory. Reporty discovery zahrnují:
| Pole | Popis |
|---|---|
| Principál | Kerberos principál (např. HTTP/webserver@CORP.LOCAL) |
| Realm | Kerberos realm |
| Cesta k souboru | Kompletní cesta v souborovém systému |
| Oprávnění souboru | Unix oprávnění (např. 0600) |
| Vlastník souboru | Vlastník souboru (např. root) |
| Typy šifrování | Všechny typy šifrování přítomné v keytabu |
| Otisk | SHA-256 hash pro deduplikaci a detekci změn |
Stavy discovery¶
| Stav | Popis |
|---|---|
discovered |
Nalezen agentem, dosud nespravován |
ignored |
Ručně označen jako nerelevantní |
imported |
Importován do spravovaného inventáře |
managed |
Spárován s existujícím spravovaným keytabem |
Detekce zastaralých záznamů
Pokud dříve objevený keytab není nalezen v posledním skenu agenta, je označen jako zastaralý (stale). To indikuje, že soubor mohl být na hostu smazán nebo přesunut.
4. Šifrovací politika¶
4.1 Přehled¶
Organizace mohou definovat šifrovací politiku specifikující povolené a zastaralé typy šifrování Kerberos. Politika je automaticky aplikována při importu nebo aktualizaci keytabů.
4.2 Výchozí politika¶
| Kategorie | Typy šifrování |
|---|---|
| Povolené | aes128-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96, aes128-cts-hmac-sha256-128, aes256-cts-hmac-sha384-192, camellia128-cts-cmac, camellia256-cts-cmac |
| Zastaralé | des-cbc-crc, des-cbc-md4, des-cbc-md5, des3-cbc-sha1, rc4-hmac |
4.3 Režimy vynucení¶
| Režim | Chování |
|---|---|
audit |
Reportovat porušení ve stavu souladu, ale nepodnikat akci |
warn |
Povolit operace s keytaby, ale označit porušení varováním |
block |
Zakázat import/aktualizaci keytabů obsahujících pouze zastaralé šifry |
4.4 Stav souladu¶
Každý keytab obdrží stav souladu:
| Stav | Význam |
|---|---|
| ✅ compliant | Všechny typy šifrování jsou na seznamu povolených |
| ⚠️ warning | Obsahuje povolené i zastaralé typy šifrování |
| 🔴 critical | Obsahuje pouze zastaralé typy šifrování |
Pro aktualizaci šifrovací politiky přejděte na Správa KeyTab → Šifrovací politika.
5. Dashboard¶
Dashboard KeyTab poskytuje přehled inventáře keytabů v reálném čase:
- Celkem / Aktivní / Exspirované — Aktuální počty inventáře
- Exspirující (30/90 dní) — Keytaby blížící se exspiraci
- Soulad šifer — Rozpad podle vyhovující / varování / kritický
- Distribuce šifer — Graf zobrazující využití typů šifrování napříč všemi keytaby
- Objevené nespravované — Počet keytabů nalezených agenty, dosud neimportovaných
6. Historie verzí¶
Každá aktualizace keytabu vytváří neměnitelný záznam verze zachycující:
- Číslo verze
- Změněné typy šifrování a KVNO
- SHA-256 hash binárního keytabu
- Kdo provedl změnu a proč (důvod změny)
- Časové razítko
Historii verzí zobrazíte ze stránky detailu keytabu pod záložkou Historie.
7. Oprávnění¶
Správa KeyTab je řízena následujícími RBAC oprávněními:
| Oprávnění | Popis | Přiděleno |
|---|---|---|
keytab:read |
Zobrazit keytaby a dashboard | User, Project Admin, Admin, Auditor |
keytab:write |
Importovat, aktualizovat keytaby | Project Admin, Admin |
keytab:delete |
Mazat keytaby | Project Admin, Admin |
keytab:admin |
Spravovat šifrovací politiku, hromadná aktualizace souladu | Admin |
Viz Role a oprávnění (RBAC) pro kompletní detaily oprávnění.
8. Režim Orchestrátora¶
V režimu Orchestrátora jsou binární data keytab odeslána do externího poskytovatele úložiště klíčů. V databázi MazeVault se ukládají pouze metadata (principál, realm, typy šifrování, stav souladu). Tím se zajistí, že citlivý materiál keytab nikdy nebude uložen na serveru MazeVault.
| Pole | Hodnota |
|---|---|
storage_mode |
names_only |
offload_status |
local → pending → offloaded |