Kerberos 操作命令使用

已于 2023-02-21 23:16:23 修改
阅读量3.6k 收藏 10
点赞数
文章标签: linux 运维
于 2022-02-03 10:42:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jerry_991/article/details/122774421
版权

一. 指南

1. 登录

kinit

2. 查询登录状态

klist

3. 退出

kdestroy

二. 使用指南

1. 登录管理KDC服务器,登录后台

kadmin.local

2. 查看用户列表

listprincs

3. 修改帐号密码(可修改忘记密码)

[root@dounine ~]# kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local:  change_password admin/admin@EXAMPLE.COM
Enter password for principal "admin/admin@EXAMPLE.COM": 123456
Re-enter password for principal "admin/admin@EXAMPLE.COM": 123456
Password for "admin/admin@EXAMPLE.COM" changed.

4. 创建用户

[root@dounine ~]# kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local:  add_principal test1
WARNING: no policy specified for test1@EXAMPLE.COM; defaulting to no policy
Enter password for principal "test1@EXAMPLE.COM": 123456
Re-enter password for principal "test1@EXAMPLE.COM": 123456
Principal "test1@EXAMPLE.COM" created.

5. 删除用户

[root@dounine ~]# kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local:  delete_principal test1
Are you sure you want to delete the principal "test1@EXAMPLE.COM"? (yes/no): yes
Principal "test1@EXAMPLE.COM" deleted.
Make sure that you have removed this principal from all ACLs before reusing.

6. 只导出用户keytab文件(并且不要修改密码)

[root@dounine ~]# kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local:  xst -k admin.keytab -norandkey admin/admin@EXAMPLE.COM
Entry for principal admin/admin@EXAMPLE.COM with kvno 6, encryption type aes256-cts-hmac-sha1-96 added to keytab WRFILE:admin.keytab.
Entry for principal admin/admin@EXAMPLE.COM with kvno 6, encryption type aes128-cts-hmac-sha1-96 added to keytab WRFILE:admin.keytab.
Entry for principal admin/admin@EXAMPLE.COM with kvno 6, encryption type des3-cbc-sha1 added to keytab WRFILE:admin.keytab.
Entry for principal admin/admin@EXAMPLE.COM with kvno 6, encryption type arcfour-hmac added to keytab WRFILE:admin.keytab.
Entry for principal admin/admin@EXAMPLE.COM with kvno 6, encryption type camellia256-cts-cmac added to keytab WRFILE:admin.keytab.
Entry for principal admin/admin@EXAMPLE.COM with kvno 6, encryption type camellia128-cts-cmac added to keytab WRFILE:admin.keytab.
Entry for principal admin/admin@EXAMPLE.COM with kvno 6, encryption type des-hmac-sha1 added to keytab WRFILE:admin.keytab.
Entry for principal admin/admin@EXAMPLE.COM with kvno 6, encryption type des-cbc-md5 added to keytab WRFILE:admin.keytab.
kadmin.local:  exit

7. 使用Keytab验证是否可以登录(无错误输出即可)

kinit -kt /etc/security/keytabs/admin.keytab admin/admin@EXAMPLE.COM

8. 查看Keytab文件中的账号列表

[root@dounine ~]# klist -ket hbase.headless.keytab

Keytab name: FILE:hbase.headless.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   7 2018-07-30T10:19:16 hbase-flink@demo.com (des-cbc-md5) 
   7 2018-07-30T10:19:16 hbase-flink@demo.com (aes128-cts-hmac-sha1-96) 
   7 2018-07-30T10:19:16 hbase-flink@demo.com (aes256-cts-hmac-sha1-96) 
   7 2018-07-30T10:19:16 hbase-flink@demo.com (des3-cbc-sha1) 
   7 2018-07-30T10:19:16 hbase-flink@demo.com (arcfour-hmac)

三. Kerberos 常用命令总结

# 进入kadmin
kadmin.local / kadmin

# 创建数据库
kdb5_util create -r JENKIN.COM -s

# 启动kdc服务
service krb5kdc start

# 启动kadmin服务
service kadmin start

# 修改当前密码
kpasswd

# 测试keytab可用性 / 通过keytab文件认证登录
kinit -kt /etc/security/keytabs/root.keytab root/cdh-master.hadoop.cn@HADOOP.CN

# 查看keytab
klist -e -k -t /etc/krb5.keytab

# 清除缓存
kdestroy




# kadmin 模式下
# 生成随机key的principal
addprinc -randkey root/master.hadoop.cn@HADOOP.CN

# 生成指定key的principal
Addprinc -pw **** admin/admin@JENKIN.COM

# 查看principal
listprincs

# 修改admin/admin的密码
cpw -pw xxxx admin/admin

# 添加/删除principle
addprinc/delprinc admin/admin

# 直接生成到keytab
ktadd -k /etc/krb5.keytab host/master1@JENKIN.COM 

# 设置密码策略(policy)
addpol -maxlife "90 days" -minlife "75 days" -minlength 8 -minclasses 3 -maxfailure 10 -history 10 user

# 添加带有密码策略的用户
addprinc -policy user hello/admin@HADOOP.COM

# 修改用户的密码策略
modprinc -policy user1 hello/admin@HADOOP.COM

# 删除密码策略
delpol [-force] user

# 修改密码策略
modpol -maxlife "90 days" -minlife "75 days" -minlength 8 -minclasses 3 -maxfailure 10 user

夜古诚
关注
Kerberos 常见命令汇总(大数据)
2301_79366435的博客
08-21 1286
以上是一些常用的 Kerberos 命令,可用于在大数据环境中进行身份验证和授权操作。请根据您的需求选择适当的命令,并参考各个命令的文档以了解更多选项和用法。请注意,本文提供的示例命令使用的 REALM、username 和 password 都是占位符,您需要根据实际情况替换为正确的值。其中,username 是您的用户名,REALM 是 Kerberos 领域的名称。执行此命令后,将显示与当前用户关联的 Kerberos 票据信息,包括票据的有效期和票据所属的服务。
【Kafka-Kerberos下执行shell命令】Kafka在Kerberos环境下如何操作shell命令
weixin_53543905的博客
04-12 708
当大数据集群部署了 Kerberos 认证操作之后,在服务器上操作 kafka shell 命令就会出现认证相关的异常,如:未配置 jaas.conf 导致的异常:未指定 client.properties 配置文件导致的超时:所以需要我们进行相关认证操作才可以正常执行 kafka shell。【Kafka-Kerberos下执行shell命令】Kafka在Kerberos环境下如何操作shell命令
Kerberos 服务部署
走向程序的康庄大道
07-06 2656
Kerberos服务部署系统版本:CentOS Linux release 7.2.1511Kerberos简介首先,我们了解下kerberos是个什么东西?Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign ...
Kerberos常用命令
aimangqi8019的博客
08-22 258
进入kerberos 控制台 kadmin.local 或 kadmin 创建数据库 kdb5_util create -r HADOOP.COM -s 启动kdc服务 service krb5kdc start 启动kadmin服务 service kadmin start 修改当前密码 kpasswd 初始化prin...
Kerberos常用命令总结
热门推荐
CarbonDioxide12138的博客
03-18 1万+
进入kadmin kadmin.local/kadmin 创建数据库 kdb5_util create -r JENKIN.COM -s  启动kdc服务 service krb5kdc start 启动kadmin服务 service kadmin start  修改当前密码 kpasswd 测试keytab可用性 kinit -k -t /var/kerberos/krb5kdc...
kerberos常用操作命令
qq_37928228的博客
04-28 1002
kerberos常用操作命令
kerberos操作命令(全)
qq_43688472的博客
07-21 1859
Kerberos 凭证(ticket) 有两个属性, ticket_lifetime 和 renew_lifetime。其中 ticket_lifetime 表明凭证生效的时限,一般为24小时。在凭证失效前部分凭证可以延期失效时间(即Renewable), renew_lifetime 表明凭证最长可以被延期的时限,一般为一个礼拜。当凭证过期之后,对安全认证的服务的后续访问则会失败。票据有效期使用的是默认值,此处是12小时。获取张三的票据,指定过期时间是1小时。修改admin/admin的密码。
Python通过kerberos安全认证操作kafka方式
09-16
本文将深入探讨如何在Python环境中使用Kerberos安全认证来操作Kafka。 首先,我们需要在运行Python的机器上安装Kerberos客户端。对于CentOS操作系统,可以通过`yum install krb5-workstation`命令安装。安装完成后...
kerberos环境搭建
06-27
在搭建Kerberos环境前,你需要一个运行Linux的操作系统,例如Ubuntu或CentOS。确保系统已经更新到最新,并安装必要的软件包,如`krb5-server`、`krb5-workstation`等。 3. **配置KDC**: - 配置主KDC:在/etc/krb...
flink写入带kerberos认证的kudu connector
03-24
此时,Flink作业将使用Kerberos认证连接到Kudu,并进行数据读写操作。请注意,确保Flink作业的运行环境和Kudu集群都已正确配置Kerberos。 总结,配置Flink写入带Kerberos认证的Kudu Connector涉及多个步骤,包括...
Kerberos安装教程与命令详解(超详细)
zcs2312852665的博客
12-27 5033
本教程介绍了如何安装和配置Kerberos身份验证系统。首先,我们搭建了一个集群,并介绍了所需的软件包。然后,我们提供了一个一键安装脚本,可以自动下载、安装和配置Kerberos服务器及客户端组件。接下来,我们详细解释了kdb5_util、kadmin、kinit和klist等常用命令的用法。:这个软件包提供了运行 Kerberos 服务器所需的组件。它包含了 KDC(Key Distribution Center)和其他必要的工具,用于管理用户凭证、颁发票据以及处理身份验证请求等。通过安装。
kerberos认证服务搭建、认证、常用命令
天空之蓝的博客
01-16 6399
文章目录安装KDC 服务器修改配置修改KDC的配置文件配置KDC服务的权限管理文件修改Kerberos的配置文件信息初始化KDC数据库启动KDC服务器启动Kerberos服务器KDC 服务器上添加超级管理员账户搭建Kerberos客户端环境将服务端的配置文件拷贝到客户端客户端配置文件和服务段同步后,进行登陆,验证是否可以成功登陆Kerberos 一些基本操作命令使用kadmin.local命令进入...
【大数据安全-KerberosKerberos相关命令
weixin_53543905的博客
03-31 859
【代码】【大数据安全-KerberosKerberos相关命令
Kerberos
guowei的博客
11-04 2236
kerberos身份认证过程:     第一步:账号和KDC互相认证;     账号A向KDC证明自己的身份:         1.账号A首先会把自己的密码hash,得到一把秘钥Kclt;         2.Kclt会把当前的时间戳加密,生成一个字符串;使用{时间戳}Kclt来表示;         3.将生成的字符串{时间戳}Kclt、账号A的信息,以及一段随机数作为请求发送给KDC。    ...
kerberos常用基本命令
qq_42668255的博客
11-22 1889
授权添加yarn账户  [root@xxx ~]# kadmin.local Authenticating as principal cloudera-scm/admin@JAST.COM with password.kadmin.local: addprinc yarn@JAST.COMWARN...
mysql kerberos_kerberos 常用命令
weixin_39965673的博客
02-07 291
假定前提1:你已经知道kerberos是做什么的,有什么用了。2:操作者叫 zhangsan常用命令命令说明kdestroy删除票据kinit zhangsan{需要密码}获取张三的票据票据有效期使用的是默认值,此处是12小时kinit -l 1h zhangsan获取张三的票据,指定过期时间是1小时过期时间的单位有 s秒 m分钟 h小时 d天如果时间超过设置最大值,使用最大值klist查看票据V...
Kerberos常用命令用法
mlwise的专栏
10-08 1万+
1. Kerberos简介 Kerberos就是一种网络认证的协议,提供了一种登录认证的方法,常用在大数据集群中hadoop相关组件中的安全认证功能,和Kerberos类似的还有ldap。Kerberos主要包括认证服务器(AS),客户端和服务器。Principal是相当于用户名,是客户端和服务器的一个唯一名字,keytab文件是加密的认证文件,一般有Principal和keytab为后缀的认证文件就可以了。认证的时候很少直接使用密码。 2. kerberos管理员常用命令 2.1 登录K...
kerberos客户端安装使用
最新发布
12-31
### 不同操作系统上的Kerberos客户端安装与配置 #### Linux系统下的Kerberos客户端安装与配置 对于Linux系统而言,以麒麟V10为例来说明Kerberos客户端的安装过程。首先通过命令`yum install krb5-libs -y`完成krb5库文件的安装[^3];接着利用`yum install krb5-devel -y`获取开发包支持;最后采用特定版本的rpm包进行客户端程序本身的部署,如`rpm -ivh krb5-client-1.17-9.ky10.x86_64.rpm`所示。 成功安装之后,需编辑`/etc/krb5.conf`文件设置默认域、KDC服务器地址以及管理服务器信息等必要参数。此步骤确保了后续能够正常连接到指定的Kerberos认证中心并请求票据授予票证(TGT)[^2]。 #### Windows系统的Kerberos客户端集成 Windows操作系统自带对Kerberos协议的支持功能,默认情况下无需额外下载软件即可实现基本的身份验证需求。然而为了更好地管理和维护企业级应用中的安全机制,则建议启用活动目录(AD)服务作为内部网络内的主要身份提供商,并按照微软官方文档指导完成相应设定调整工作。 具体来说,在组策略对象(GPO)中定义合适的计算机和用户权限分配方案,同时保证时间同步精度满足跨平台互操作性的严格要求。此外还可以借助PowerShell脚本自动化部分重复性高的任务流程,提高工作效率的同时减少人为失误发生的可能性。 #### macOS环境下Kerberos工具链构建方法 macOS同样预装了一套完整的Kerberos框架供开发者调用。如果遇到任何问题或者想要自定义某些行为特性的话,可以从苹果开发者网站获得最新版开源项目源码加以修改完善后再编译成可执行文件形式发布出去共享给社区成员测试反馈意见。 另外值得注意的一点是在Homebrew包管理系统里也存在多个第三方贡献者维护着高质量的相关扩展插件可供选用尝试,比如`kinit`, `klist`, 和`kvno`这些常用指令行实用程序都能够在终端窗口内快速访问调用,极大地方便了日常排查故障的工作进程推进速度提升显著。 ```bash brew install krb5 ``` 以上就是针对三大主流桌面级操作系统平台上有关于如何正确无误地实施Kerberos客户端安装及初步配置工作的详细介绍[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值