文档章节

kerberos配置方法

pearma
 pearma
发布于 2017/07/18 16:21
字数 513
阅读 130
收藏 0

客户端配置

kerberos客户端配置,理论上很简单。安装客户端程序,然后拿到正确的kerberos配置信息,理论上就可以使用kerberos来验证身份了。下面以red hat enterprise server 6.5为例,介绍一下kerberos客户端配置。

  1. 观察当前配置。

    在/etc/下发现了空的krb5.conf文件,怀疑已经预装kerberos客户端。

    执行klist,发现可以执行,证明客户端已经装好。

  2. 获取krb5.conf文件

    从一台kerberos服务器获取配置文件

    scp root@kerberos-master:/etc/krb5.conf /etc/krb5.conf
    
  3. 执行kinit

    执行kinit来验证身份,结果提示错误。

    #kinit mac@MCIPT.COM 
    kinit: Included profile directory could not be read while initializing Kerberos 5 library
    
  4. 错误分析

    $ strace kinit
    ...
    stat("/etc/krb5.conf.d/", 0x7ffd83a26fc0) = -1 ENOENT (No such file or directory)
    close(3)                                = 0
    write(2, "kinit: Included profile director"..., 52kinit: Included profile directory could not be read ) = 52
    write(2, "while initializing Kerberos 5 li"..., 37while initializing Kerberos 5 library) = 37
    write(2, "\n", 1
    )                       = 1
    exit_group(1)                           = ?
    +++ exited with 1 +++
    

    原来是/etc/krb5.conf.d目录没有建立。建立之后,故障排除

创建keytab文件

Keytab文件可用于应用帐号免密获取ticket。因为一般情况下,应用无法通过交互的方式去更新kerberos ticket。采用keytab,一条命令完成更新,是常规做法。接下来就介绍一下,如何制作keytab文件。

  1. Windows方案。

    如果采用AD作为KDC,那么就可以在AD端,通过执行ktpass命令,来生成keytab文件。 在active directory 端,打开dos 窗口,执行:

    #1.创建用户 mac@MCIPT,对应密码为 real_password
    ktpass /princ mac@MCIPT.COM /pass real_password /ptype KRB5_NT_PRINCIPAL /out mac.keytab
    
    #KDC中,对应的命令是
    #kadmin.local -q "addprinc -randkey mac@MCIPT.COM"
    #kadmin.local -q "xst -k /etc/security/keytabs/mac.keytab mac@MCIPT.COM"
    

    这里的real_password,一定是mac这个用户的真实密码。随便填,使用kinit的时候就会提示 preauthentication 失败。

  2. Linux方案

    通过ktutil命令,来生成一个所需的keytab文件。

    # ktutil
    ktutil:add_entry -password -p mac@MCIPT.COM -k 1 -e arcfour-hmac-md5 
    ktutil:wkt mac.keytab    
    
  3. 验证:

        kinit mac@MCIPT.COM -k -t mac.keytab
    

© 著作权归作者所有

共有 人打赏支持
pearma
粉丝 3
博文 67
码字总数 26042
作品 0
徐汇
高级程序员
在 WebSphere Application Server Community Edition 中

IBM WebSphere Application Server Community Edition V2.1.1.2 (以下简称为 Community Edition)是一个基于 Apache Geronimo 2.1.4 的免费 Java Platform, Enterprise Edition 5.0 (Java ......

小编辑
2010/01/29
604
0
安装与配置kerberos

1、环境说明 系统说明: 操作系统:centos 6.6 Hadoop版本:CDH 5.5 JDK版本: 1.7.0_67 kerberos安装的组件分配: 74作为master节点,其他节点作为slave节点。我们在74节点安装kerberos Se...

PeanutLike
2016/09/02
891
0
kafka kerberos 认证访问与非认证访问共存下的ACL问题

在一个正在运行的kafka集群中添加kerberos认证和ACL权限控制,同时保证以前所有的producerconsumer服务不中断 解决方式: 使kafka集群监听两个端口,一个为无认证连接,另一个为kerberos的认...

落花非有意
2017/08/22
0
0
HAS-插件式Kerberos认证框架

HAS解决方案要点 Hadoop服务以及服务之间继续使用原先的Kerberos的认证机制; 在集群部署的时候可以把节点使用的Keytab放到可靠的节点上, 集群运行时,集群内的节点只有通过认证后才能正常使...

寒沙牧
2017/12/25
0
0
SQL Kerberos的原理及实验

参考文献 Microsoft SQL Server企业级平台管理实践 Kerberos Explained Kerberos (protocol)wiki 正文 这一周一直在研究kerberos的原理,并做了一些实验,现在做一下总结。 首先我们要知道,...

嗯哼9925
2017/12/27
0
0

没有更多内容

加载失败,请刷新页面

加载更多

linux 系统的运行级别

运行级别 运行级别 | 含义 0 关机 1 单用户模式,可以想象为windows 的安全模式,主要用于修复系统 2 不完全的命令模式,不含NFS服务 3 完全的命令行模式,就是标准的字符界面 4 系统保留 5 ...

Linux学习笔记
今天
2
0
学习设计模式——命令模式

任何模式的出现,都是为了解决一些特定的场景的耦合问题,以达到对修改封闭,对扩展开放的效果。命令模式也不例外: 命令模式是为了解决命令的请求者和命令的实现者之间的耦合关系。 解决了这...

江左煤郎
今天
3
0
字典树收集(非线程安全,后续做线程安全改进)

将500W个单词放进一个数据结构进行存储,然后进行快速比对,判断一个单词是不是这个500W单词之中的;来了一个单词前缀,给出500w个单词中有多少个单词是该前缀. 1、这个需求首先需要设计好数据结...

算法之名
昨天
15
0
GRASP设计模式

此文参考了这篇博客,建议读者阅读原文。 面向对象(Object-Oriented,OO)是当下软件开发的主流方法。在OO分析与设计中,我们首先从问题领域中抽象出领域模型,在领域模型中以适当的粒度归纳...

克虏伯
昨天
1
0
Coding and Paper Letter(四十)

资源整理。 1 Coding: 1.Tomislav Hengl撰写的非官方作者指南:Michael Gould•Wouter Gerritsma。 UnofficialGuide4Authors 2.R语言包rwrfhydro,社区贡献的工具箱,用于管理,分析和可视化...

胖胖雕
昨天
1
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部