文档章节

kerberos配置方法

pearma
 pearma
发布于 2017/07/18 16:21
字数 513
阅读 202
收藏 0

客户端配置

kerberos客户端配置,理论上很简单。安装客户端程序,然后拿到正确的kerberos配置信息,理论上就可以使用kerberos来验证身份了。下面以red hat enterprise server 6.5为例,介绍一下kerberos客户端配置。

  1. 观察当前配置。

    在/etc/下发现了空的krb5.conf文件,怀疑已经预装kerberos客户端。

    执行klist,发现可以执行,证明客户端已经装好。

  2. 获取krb5.conf文件

    从一台kerberos服务器获取配置文件

    scp root@kerberos-master:/etc/krb5.conf /etc/krb5.conf
    
  3. 执行kinit

    执行kinit来验证身份,结果提示错误。

    #kinit mac@MCIPT.COM 
    kinit: Included profile directory could not be read while initializing Kerberos 5 library
    
  4. 错误分析

    $ strace kinit
    ...
    stat("/etc/krb5.conf.d/", 0x7ffd83a26fc0) = -1 ENOENT (No such file or directory)
    close(3)                                = 0
    write(2, "kinit: Included profile director"..., 52kinit: Included profile directory could not be read ) = 52
    write(2, "while initializing Kerberos 5 li"..., 37while initializing Kerberos 5 library) = 37
    write(2, "\n", 1
    )                       = 1
    exit_group(1)                           = ?
    +++ exited with 1 +++
    

    原来是/etc/krb5.conf.d目录没有建立。建立之后,故障排除

创建keytab文件

Keytab文件可用于应用帐号免密获取ticket。因为一般情况下,应用无法通过交互的方式去更新kerberos ticket。采用keytab,一条命令完成更新,是常规做法。接下来就介绍一下,如何制作keytab文件。

  1. Windows方案。

    如果采用AD作为KDC,那么就可以在AD端,通过执行ktpass命令,来生成keytab文件。 在active directory 端,打开dos 窗口,执行:

    #1.创建用户 mac@MCIPT,对应密码为 real_password
    ktpass /princ mac@MCIPT.COM /pass real_password /ptype KRB5_NT_PRINCIPAL /out mac.keytab
    
    #KDC中,对应的命令是
    #kadmin.local -q "addprinc -randkey mac@MCIPT.COM"
    #kadmin.local -q "xst -k /etc/security/keytabs/mac.keytab mac@MCIPT.COM"
    

    这里的real_password,一定是mac这个用户的真实密码。随便填,使用kinit的时候就会提示 preauthentication 失败。

  2. Linux方案

    通过ktutil命令,来生成一个所需的keytab文件。

    # ktutil
    ktutil:add_entry -password -p mac@MCIPT.COM -k 1 -e arcfour-hmac-md5 
    ktutil:wkt mac.keytab    
    
  3. 验证:

        kinit mac@MCIPT.COM -k -t mac.keytab
    

© 著作权归作者所有

共有 人打赏支持
pearma
粉丝 3
博文 67
码字总数 26042
作品 0
徐汇
高级程序员
私信 提问
安装与配置kerberos

1、环境说明 系统说明: 操作系统:centos 6.6 Hadoop版本:CDH 5.5 JDK版本: 1.7.0_67 kerberos安装的组件分配: 74作为master节点,其他节点作为slave节点。我们在74节点安装kerberos Se...

PeanutLike
2016/09/02
891
0
在 WebSphere Application Server Community Edition 中

IBM WebSphere Application Server Community Edition V2.1.1.2 (以下简称为 Community Edition)是一个基于 Apache Geronimo 2.1.4 的免费 Java Platform, Enterprise Edition 5.0 (Java ......

小编辑
2010/01/29
656
0
kafka kerberos 认证访问与非认证访问共存下的ACL问题

在一个正在运行的kafka集群中添加kerberos认证和ACL权限控制,同时保证以前所有的producerconsumer服务不中断 解决方式: 使kafka集群监听两个端口,一个为无认证连接,另一个为kerberos的认...

落花非有意
2017/08/22
0
0
SQL Kerberos的原理及实验

参考文献 Microsoft SQL Server企业级平台管理实践 Kerberos Explained Kerberos (protocol)wiki 正文 这一周一直在研究kerberos的原理,并做了一些实验,现在做一下总结。 首先我们要知道,...

嗯哼9925
2017/12/27
0
0
HAS-插件式Kerberos认证框架

HAS解决方案要点 Hadoop服务以及服务之间继续使用原先的Kerberos的认证机制; 在集群部署的时候可以把节点使用的Keytab放到可靠的节点上, 集群运行时,集群内的节点只有通过认证后才能正常使...

寒沙牧
2017/12/25
0
0

没有更多内容

加载失败,请刷新页面

加载更多

BCryptPasswordEncoder加密工具类

Spring Security 提供的 BCryptPasswordEncoder 加密算法进行加密 import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;/** * <p> * BCryptPasswordEncoder加......

秋至丶枫以落
9分钟前
0
0
在 Linux 上使用 tarball

Tarball 提供了一种在 Linux 系统上备份和管理一组文件的通用方法。请按照以下提示了解如何创建它们,以及从中提取和删除单个文件。 “tarball” (LCTT 译注:国内也常称为“tar 包”)一词...

Linux就该这么学
25分钟前
2
0
2018年AI和ML(NLP、计算机视觉、强化学习)技术总结和2019年趋势(上)

摘要: 回顾2018,展望2019,计算机科学技术继续前进! 1、简介: 过去几年一直是人工智能爱好者和机器学习专业人士最幸福的时光。因为这些技术已经发展成为主流,并且正在影响着数百万人的生...

阿里云官方博客
29分钟前
4
0
UnsatisfiedLinkError sawindbg.dll

方法:搜索sawindbg.dll,然后将文件报错的目录下

洛水
30分钟前
2
0
说说不知道的Golang中参数传递

本文由云+社区发表 导言 几乎每一个C++开发人员,都被面试过有关于函数参数是值传递还是引用传递的问题,其实不止于C++,任何一个语言中,我们都需要关心函数在参数传递时的行为。在golang中...

腾讯云加社区
31分钟前
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部