文档章节

kerberos配置方法

pearma
 pearma
发布于 2017/07/18 16:21
字数 513
阅读 89
收藏 0

客户端配置

kerberos客户端配置,理论上很简单。安装客户端程序,然后拿到正确的kerberos配置信息,理论上就可以使用kerberos来验证身份了。下面以red hat enterprise server 6.5为例,介绍一下kerberos客户端配置。

  1. 观察当前配置。

    在/etc/下发现了空的krb5.conf文件,怀疑已经预装kerberos客户端。

    执行klist,发现可以执行,证明客户端已经装好。

  2. 获取krb5.conf文件

    从一台kerberos服务器获取配置文件

    scp root@kerberos-master:/etc/krb5.conf /etc/krb5.conf
    
  3. 执行kinit

    执行kinit来验证身份,结果提示错误。

    #kinit mac@MCIPT.COM 
    kinit: Included profile directory could not be read while initializing Kerberos 5 library
    
  4. 错误分析

    $ strace kinit
    ...
    stat("/etc/krb5.conf.d/", 0x7ffd83a26fc0) = -1 ENOENT (No such file or directory)
    close(3)                                = 0
    write(2, "kinit: Included profile director"..., 52kinit: Included profile directory could not be read ) = 52
    write(2, "while initializing Kerberos 5 li"..., 37while initializing Kerberos 5 library) = 37
    write(2, "\n", 1
    )                       = 1
    exit_group(1)                           = ?
    +++ exited with 1 +++
    

    原来是/etc/krb5.conf.d目录没有建立。建立之后,故障排除

创建keytab文件

Keytab文件可用于应用帐号免密获取ticket。因为一般情况下,应用无法通过交互的方式去更新kerberos ticket。采用keytab,一条命令完成更新,是常规做法。接下来就介绍一下,如何制作keytab文件。

  1. Windows方案。

    如果采用AD作为KDC,那么就可以在AD端,通过执行ktpass命令,来生成keytab文件。 在active directory 端,打开dos 窗口,执行:

    #1.创建用户 mac@MCIPT,对应密码为 real_password
    ktpass /princ mac@MCIPT.COM /pass real_password /ptype KRB5_NT_PRINCIPAL /out mac.keytab
    
    #KDC中,对应的命令是
    #kadmin.local -q "addprinc -randkey mac@MCIPT.COM"
    #kadmin.local -q "xst -k /etc/security/keytabs/mac.keytab mac@MCIPT.COM"
    

    这里的real_password,一定是mac这个用户的真实密码。随便填,使用kinit的时候就会提示 preauthentication 失败。

  2. Linux方案

    通过ktutil命令,来生成一个所需的keytab文件。

    # ktutil
    ktutil:add_entry -password -p mac@MCIPT.COM -k 1 -e arcfour-hmac-md5 
    ktutil:wkt mac.keytab    
    
  3. 验证:

        kinit mac@MCIPT.COM -k -t mac.keytab
    

© 著作权归作者所有

共有 人打赏支持
pearma
粉丝 3
博文 64
码字总数 25295
作品 0
徐汇
高级程序员
安装与配置kerberos

1、环境说明 系统说明: 操作系统:centos 6.6 Hadoop版本:CDH 5.5 JDK版本: 1.7.0_67 kerberos安装的组件分配: 74作为master节点,其他节点作为slave节点。我们在74节点安装kerberos Se...

PeanutLike
2016/09/02
891
0
kafka kerberos 认证访问与非认证访问共存下的ACL问题

在一个正在运行的kafka集群中添加kerberos认证和ACL权限控制,同时保证以前所有的producerconsumer服务不中断 解决方式: 使kafka集群监听两个端口,一个为无认证连接,另一个为kerberos的认...

落花非有意
2017/08/22
0
0
在 WebSphere Application Server Community Edition 中

IBM WebSphere Application Server Community Edition V2.1.1.2 (以下简称为 Community Edition)是一个基于 Apache Geronimo 2.1.4 的免费 Java Platform, Enterprise Edition 5.0 (Java ......

小编辑
2010/01/29
604
0
HAS-插件式Kerberos认证框架

HAS解决方案要点 Hadoop服务以及服务之间继续使用原先的Kerberos的认证机制; 在集群部署的时候可以把节点使用的Keytab放到可靠的节点上, 集群运行时,集群内的节点只有通过认证后才能正常使...

寒沙牧
2017/12/25
0
0
SQL Kerberos的原理及实验

参考文献 Microsoft SQL Server企业级平台管理实践 Kerberos Explained Kerberos (protocol)wiki 正文 这一周一直在研究kerberos的原理,并做了一些实验,现在做一下总结。 首先我们要知道,...

嗯哼9925
2017/12/27
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

配置Spring的注解支持

声明:本栏目所使用的素材都是凯哥学堂VIP学员所写,学员有权匿名,对文章有最终解释权;凯哥学堂旨在促进VIP学员互相学习的基础上公开笔记。 配置Spring的注解支持 以上也提到了使用注解来配...

凯哥学堂
33分钟前
0
0
关于Spring Aop存在的一点问题的思考

在本人前面的文章Spring Aop原理之切点表达式解析中讲解了Spring是如何解析切点表达式的,在分析源码的时候,出现了如下将要讲述的问题,我认为是不合理的,后来本人单纯使用aspectj进行试验...

爱宝贝丶
35分钟前
0
0
JavaScript 概述

JavaScript是面向Web的编程语言。绝大多数现代网站都使用了JavaScript,并且所有的现代Web浏览器——基于桌面系统、游戏机、平板电脑和智能手机的浏览器——均包含了JavaScript解释器。这使得...

Mr_ET
今天
0
0
Java Run-Time Data Areas(Java运行时数据区/内存分配)

Java运行时数据区(内存分配) 本文转载官网 更多相关内容可查看官网 中文翻译可参考 2.5. Run-Time Data Areas The Java Virtual Machine defines various run-time data areas that are use...

lichuangnk
今天
0
0
docker learn :services docker-compose.yml

docker-compose.yml定义了服务的运行参数 version: "3" services: web: # replace username/repo:tag with your name and image details image: hub.c.163.com/dog948453219/friendlyhello d......

writeademo
今天
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部