文档章节

kerberos 常用命令

o
 os_m
发布于 2019/12/08 16:26
字数 573
阅读 11
收藏 0

假定前提

1:你已经知道kerberos是做什么的,有什么用了。

2:操作者叫 zhangsan

 

常用命令

命令 说明
kdestroy 删除票据
kinit zhangsan

{需要密码}获取张三的票据

票据有效期使用的是默认值,此处是12小时

kinit -l 1h zhangsan

获取张三的票据,指定过期时间是1小时

过期时间的单位有 s秒 m分钟 h小时 d天

如果时间超过设置最大值,使用最大值

klist

查看票据

Valid starting    生效时间

Expires     过期时间

renew until  在此时间之前都可以免密续期

kinit -R 续期,注意不会改变renew until 
   
   
   
   

 

客户端的配置文件是  /etc/krb5.conf

 

Kerberos 凭证(ticket) 有两个属性, ticket_lifetime 和 renew_lifetime。其中 ticket_lifetime 表明凭证生效的时限,一般为24小时。在凭证失效前部分凭证可以延期失效时间(即Renewable), renew_lifetime 表明凭证最长可以被延期的时限,一般为一个礼拜。当凭证过期之后,对安全认证的服务的后续访问则会失败。

 

免密登录

# 删除票据
kdestroy

######################
# 管理票据,进入ktutil
ktutil

# 添加票据
add_entry -password -p {用户名} -k 1 -e aes128-cts
add_entry -password -p zhangsan -k 1 -e aes128-cts


# 会提示输入密码
Password ....

# 票据保存到文件
write_kt /opt/priv.k

# 退出 ktutil
q
######################

# 查看票据
klist -kt /opt/priv.k -e

# 使用票据授权
kinit -kt /opt/priv.k  zhangsan

# 查看系统票据
klist -e




 

注意:遇见错误提示

kinit: Key table entry not found while getting initial credentials

是因为加密方式不对,服务端对加密方式有了限制,我们在使用 aes256-cts-hmac-sha1-96 的时候出现了这个错误提示

 

 

参考文章

https://docs.oracle.com/cd/E56344_01/html/E54075/kinit-1.html        中文手册

https://blog.51cto.com/caiguangguang/1383723   kerberos的tgt时间理解

https://www.cnblogs.com/morvenhuang/p/4607790.html  Kerberos ticket lifetime及其它

https://blog.csdn.net/woloqun/article/details/103277813  深入理解kerberos票据生命周期

https://www.jianshu.com/p/54cd2a659698  Kerberos ticket 生命周期

© 著作权归作者所有

o
粉丝 0
博文 20
码字总数 7418
作品 0
私信 提问
【大数据安全】Kerberos集群安装配置

1. 概述 Kerberos是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。它也指由麻省理工实现此协议,并发布的一套免费软件。它的设...

mantou叔叔
2018/08/11
0
0
Powershell 小技巧 20160119

Ctrl+F 搜索 开启远程Powershell Powershell 常用网站 Powershell中阻止”确认提示”的方法 Powershell 常用网站 http://www.pstips.net/ 开启远程Powershell http://www.pstips.net/enabli...

xifalniang
2016/09/02
0
0
轻松迁移到带有 Kerberos-5 支持的 OpenAFS

OpenAFS 是基于客户端/服务器架构的分布式文件系统并提供大量高级功能,比如全局名称空间、高扩展性、数据分布和高安全性。 它能提供存储在多个文件服务器中文件系统的所有文件的集中视图,使...

红薯
2010/05/26
530
0
安装与配置kerberos

1、环境说明 系统说明: 操作系统:centos 6.6 Hadoop版本:CDH 5.5 JDK版本: 1.7.0_67 kerberos安装的组件分配: 74作为master节点,其他节点作为slave节点。我们在74节点安装kerberos Se...

PeanutLike
2016/09/02
2.1K
0
Hadoop运维记录系列(十八)

之前为了练习英语用英文写的这个博客,然后被编辑置为转载了,所以想想还是翻译过来比较好。 原文发表于 https://xianglei.tech 确实是我自己原创的。英文很烂,所以才需要练习。 使用Cloud...

Slaytanic
2017/04/24
0
0

没有更多内容

加载失败,请刷新页面

加载更多

OSChina 宇宙银河乱弹英雄传 —— @FalconChen

1Osc乱弹歌单(2020)请戳(这里) 【今日歌曲】 @巴拉迪维 :Axxis的单曲《Only God Knows》 最近只听摇滚,挖了好多以前没听过的歌,蛮好。#今日歌曲推荐# 《Only God Knows》- Axxis 手机...

小小编辑
今天
177
2
Safari Date() 函数对日期时间字符串(yyyy-MM-dd HH:mm:ss) 提示NaN的问题

今天发现一个奇怪的问题,在iPhone使用 safari 选择定时发布文章到OSC,选择时间后提示不是合法的时间,判断时间的代码如下: var d = new Date('2020-01-23 23:15'); if (isNaN(d)) {...

FalconChen
昨天
124
0
ActiveMQ学习之通讯协议

一、支持的通讯协议 ActiveMQ支持的client-broker通讯协议有:TCP、NIO、UDP、SSL、HTTP(S)、VM 其中配置Transport Connector的文件在ActiveMQ安装目录的conf/activemq.xml中的<TransportCon...

冥焱
昨天
91
0
应急广播户户通平台

一、平台概述 应急广播户户通平台为软硬一体化广播服务解决方案。实现了应急广播、视音频及图片文字信息、调频及数字广播FM、天气预报信息接收功能,以及视音频播放、智能机器人、电子日历等...

neocean
昨天
133
0
如何为Apache 2.2启用mod_rewrite

我已经在我的Vista机器上安装了新的Apache 2.2,一切正常,除了mod重写。 我没有注释 LoadModule rewrite_module modules/mod_rewrite.s 但是我的重写规则都没有,即使是简单的重写规则 Re...

javail
昨天
53
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部