聊聊 kerberos 的 kinit 命令和 ccache 机制

最新推荐文章于 2023-07-21 17:30:17 发布
最新推荐文章于 2023-07-21 17:30:17 发布
阅读量4.3k 收藏 3
点赞数 3
分类专栏: 数据安全 文章标签: kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MichaelLi916/article/details/123428461
版权

1. 前言

大家好,最近遇到了个 kerberos 相关问题,“客户端节点上执行 kinit -R 命令报错:KDC can’t fulfill requested option while renewing credentials”, 在次跟大家分享下问题的解决方式,和背后的相关知识点,主要涉及到 kerberos 的 kinit 命令和 ccache 机制。

2. 问题现象与问题日志

  • 问题现象: 客户端执行命令 kinit -R 报错: “KDC can’t fulfill requested option while renewing credentials”
  • 问题日志:查看 KDC 服务端日志/var/log/krb5kdc.log 可知,上述报错对应的请求是 TGS_REQ,细节是 liming@TEST.COM for krbtgt/TEST.COM@TEST.COM,其错误原因是 ticket not renewable, 即 ticket 不可刷新;

image

3. 问题原因

那么 “ticket not renewable” 的原因又有哪些呢?主要有以下几个:

  • 服务端配置文件 /var/kerberos/krb5kdc/kdc.conf 或 /etc/krb5.conf 中对应的 realms 段中没有配置允许 renew ticket;
  • 服务端生成 krbtgt 这个 principal 时,没有配置参数 maxrenewlife,即没有指定其 ticket 的最大可刷新时长;
  • 服务端生成用户的 principal 时,没有配置参数 maxrenewlife,即没有指定其 ticket 的 最大可刷新时长(如报错日志中的 liming@TEST.COM);
  • 客户端上次成功登陆后,获得的 krbtgt 这个 service principal 的可刷新时间已过期,其过期原因是超过了服务端配置的 maxrenewlife(如报错日志中的 krbtgt/TEST.COM@TEST.COM);
  • 客户端上次成功登陆后,用户 principal 的 ticket 已过期,其过期原因是超过了服务端配置的 ticket_lifetime,该参数一般配置为 24 h(如报错日志中的 liming@TEST.COM);
    image

4. 问题解决方案与操作步骤

通过上述分析,我们知道,为解决问题,需要更改服务端的配置参数max_renewable_life,需要更改服务端上述两个 principal 的 maxrenewlife,并确保客户端指定 kinit -R 时 krbtgt 并没有过期,才能确保任务执行成功。

  1. 服务端更改或确认配置文件/var/kerberos/krb5kdc/kdc.conf 或 /etc/krb5.conf 中,对应的 realms 段中需要配置参数允许刷新:max_renewable_life
  2. 服务端更过或确认上述两个 principal 的参数 maxrenewlife,示例命令如下:
  • modprinc -maxrenewlife “1 week” +allow_renewable liming@TEST.COM
  • modprinc -maxrenewlife “1 week” +allow_renewable krbtgt/TEST.COM@TEST.COM
  • kadmin.local -q “getprinc krbtgt/TEST.COM@TEST.COM” | grep -i life
  • kadmin.local -q “getprinc liming@TEST.COM” | grep -i life
  1. 上述配置修改或确认完毕后,还需要重新登录以生成新的 ticket,后续的 kinit -R 命令才能成功执行;
  2. 同时可以看到,改动 principal 的参数 maxrenewlife 前,klist 不提示 renew until …,而改动 principal 的参数 maxrenewlife后,klist 会提示 renew until …,即在次日期之前可以使用 kinit -R 刷新 ticket;

image

image

5. 背景知识: kinit 命令与 ccache 机制

  • 用户在客户端通过 kinit 成功登录 kerberos 后,会将获得的 ticket-granting ticket 缓存到客户端的 ccache (credentail cache) 文件中;
  • ccache 文件地址是通过配置文件 /etc/krb5.conf 中的参数 default_ccache_name来配置的,在 linux 操作系统中一般是配置为 FILE:/tmp/krb5cc_%{uid},实际对应文件 /tmp/krb5cc_0 等;
  • “kinit -R” 命令,可以用来刷新 ticket-granting ticket,即 tgt;
  • “kinit -R” 命令,只能在 ticket 没有过期之前,且还在 krbtgt 可刷新时间之前,刷新 ticket;
  • “kinit -R” 成功刷新 ticket 之后, 会更新 ccache (credentail cache) 文件,大家可以通过 ls -al 命令查看 linux 中该文件的 ctime 确认这一点;
  • kinit 登录,对应的是 AS_REQ,需要 KDC 中的 Authentication Server (AS) 校验用户身份,获得的是krbtgt,对应 kerberos 日志中的:liming@TEST.COM for krbtgt/TEST.COM@TEST.COM;
  • kinit 认证完毕后,后续使用受 kerberos 保护的服务,比如登录 hiveserver2时,命令格式为:beeline -u “jdbc:hive2://uf30-2:10000/default;principal=hive/_HOST@TEST.COM”, 此时在底层是一个 TGS_REQ,对应 kerberos 日志中的:liming@TEST.COM for hive/cdp2@TEST.COM;
  • kinit -R 续期 tgt,对应的是 TGS_REQ, 需要 KDC 中的 Ticket Granting Server (TGS) 的响应,其效果是刷新了krbtgt,更新了 ccache 文件如 /tmp/krb5cc_0, 对应 kerberos 日志中的:liming@TEST.COM for krbtgt/TEST.COM@TEST.COM

image

image

[root@uf30-1 ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: admin/admin@CDH.COM
Valid starting       Expires              Service principal
11/13/2020 13:08:27  11/14/2020 13:08:27  krbtgt/CDH.COM@CDH.COM
    renew until 11/20/2020 13:08:27
[root@uf30-1 ~]# kinit -R
[root@uf30-1 ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: admin/admin@CDH.COM
Valid starting       Expires              Service principal
11/13/2020 19:38:15  11/14/2020 19:38:15  krbtgt/CDH.COM@CDH.COM
    renew until 11/20/2020 13:08:27
明哥的IT随笔
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
域渗透中的DPAPI和Kerberos协议.pdf
08-08
议题分享主要介绍了域渗透中数据保护API架构逻辑和Kerberos认证协议的通信流程,同时从攻击者的角度谈了DPAPI和Kerberos协议的利用,最后给出常见攻击思路的防御和缓解措施。 1.1 DPAPI架构 1.2 DPAPI加密机制 1.3 DPAPI的利用 2.1 Kerberos协议 2.2 Kerberos通信流程 2.3 Kerberos常见攻击 2.3.1 Kerberoast爆破 2.3.2 黄金票据 2.3.3 白银票据 3.1 检测和防御
kerberos认证机制
08-24
1.集群中密钥的管理、分发 2.kerberos的整个工作流程以及认证机制
kerberos 基础知识和安装操作
10-10
kerberos 的基础术语、验证过程讲解、安装步骤及操作使用。
Hadoop部署和配置Kerberos安全认证
05-17
Hadoop部署和配置Kerberos安全认证全套流程。已经过实测并部署与生产环境。
python3.6.5基于kerberos认证的hive和hdfs连接调用方式
09-16
主要介绍了python3.6.5基于kerberos认证的hive和hdfs连接调用方式,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Kerberos中常用命令和kinit -kt命令说明
多头注意力探索Now
05-28 5774
kerberos常用命令
Kerberos安全机制-kinit
t949500898的博客
07-21 4708
一、Kerberos协议 Kerberos(具体可参考RFC1510)是一种网络身份验证的协议(注意它只包括验证环节,不负责授权),用户只需输入一次身份验证信息,就可凭借此验证获得的票据授予票据(ticket-granting ticket)访问多个接入Kerberos的服务,即SSO(Single Sign On,单点登录)。 1.基本概念 Principal:安全个体,具有唯一命名的客户端或服务器。命名规则:主名称+实例+领域,如本文开头中的sherlocky/admin @EXAMPLE.COM T
kinit什么意思_kinit
weixin_36418921的博客
01-17 7780
kinit(1)名称kinit - 获取和缓存 Kerberos 票证授予票证 (ticket-granting ticket)用法概要/usr/bin/kinit [-ARvV] [-p | -P] [-f | -F] [-a] [-c cache_name][-C] [-E] [-k [-t keytab_file]] [-l lifetime][-r renewable_life] [-s ...
kinit—一款年轻技术的开源快速开发平台,接口采用FastAPI+SQLAlchemy,前端基于Vue3+Typescript+Vite3+element-plus开发
ktianc的博客
12-06 2167
Kinit 是一套全部开源的快速开发平台,毫无保留给个人及企业免费使用。 PC端演示地址:http://admin.kinit.top移动端演示地址:http://h5.kinit.top 微信小程序端演示:搜索:kinit 账号:15020221010 密码:kinit2022 gitee地址(主推):https://gitee.com/ktianc/kinit github地址:https://github.com/vvandk/kinit
kinit: KDC can‘t fulfill requested option while renewing credentials
jzy3711的博客
10-02 2739
1,检查配置文件/var/kerberos/krb5kdc/kdc.conf,在[realms]下需要有max_renewable_life = 7d。为啥推荐使用klist,执行命令需要和和klist中的Default principal: [email protected]对应。3.klist 查看cache文件 或者在/etc/krb5.conf中查看相应的配置文件,推荐使用klist。在测试集群上装上了kerberos,今天同事需要使用kinit -R 命令,在执行时报错。8.重新执行kinit -R成功。
kerberos部署
weixin_41350766的博客
09-20 380
1.安装krb yum -y install krb5-server krb5-libs krb5-auth-dialog krb5-workstation 2.配置krb5.conf vi /etc/krb5.conf ----------------------------------------------------------------------------------------仅...
【大数据安全-KerberosKerberos常见问题及解决方案
weixin_53543905的博客
04-04 7951
javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)] 可以用来帮助诊断 Kerberos 相关问题的原因并实施解决方案的指南。
kerberos的操作命令(全)
最新发布
qq_43688472的博客
07-21 907
Kerberos 凭证(ticket) 有两个属性, ticket_lifetime 和 renew_lifetime。其中 ticket_lifetime 表明凭证生效的时限,一般为24小时。在凭证失效前部分凭证可以延期失效时间(即Renewable), renew_lifetime 表明凭证最长可以被延期的时限,一般为一个礼拜。当凭证过期之后,对安全认证的服务的后续访问则会失败。票据有效期使用的是默认值,此处是12小时。获取张三的票据,指定过期时间是1小时。修改admin/admin的密码。
大数据之Kerberos认证
m0_70949976的博客
05-15 5271
Kerberos 是一个网络身份验证协议,用于在计算机网络中进行身份验证和授权。它提供了一种安全的方式,允许用户在不安全的网络上进行身份验证,并获取访问网络资源的权限。
从kinitkerberos安全机制
weixin_34248849的博客
06-04 868
2019独角兽企业重金招聘Python工程师标准>>> ...
Kerberos ticket 生命周期
偷闲小苑
11-27 4304
基本概念 Kerberos ticket 有两种生命周期,ticket timelife (票据生命周期) 和 renewable lifetime (可再生周期)。 当 ticket lifetime 结束时,该 ticket 将不再可用。 如果 renewable lifetime > ticket lifetime ,那么在票据生命周期内都可以其进行续期,直到达到可再生周期的上限...
kinit相关命令
热门推荐
weixin_34357928的博客
12-13 3万+
生成keytab后,使用该文件认证 认证的命令如下: kinit -kt /xxx/xxx.keytab [email protected] 认证后,kerberos就给这个用户一个有效期,用klist命令可以看到这个有效期 klist -kt /xxx/xxx.keytab 可以用chmod给其他用户加上r权限,这样其他用户也能使用这个keytab文件 配合svn命令一起用,在有效期内就不需要每...
hadoop balance 报错: “KDC can‘t fulfill requested option while renewing credentials“
qq_31024251的博客
10-29 2777
kerberos server 所在机器执行: kadmin.local -q ‘getprinc hdfsxxxxxxx’ # 查看输出内容中Maximum renewable life 对应的是不是 0day 00:00:00, 如果是0day,则执行 kadmin.local -q 'modprinc -maxrenewlife 7d hdfsxxxxxx" 进行principal renew_lifetime 的更新 ...
【安全】Kerberos相关问题进行故障排除| 常见错误和解决方法
九师兄
01-07 2万+
1.概述 转载 为了学习:Kerberos相关问题进行故障排除| 常见错误和解决方法 2.总结 可以用来帮助诊断Kerberos相关问题的原因并实施解决方案的指南。 3. 症状 单击症状链接转到相应的疑难解答部分。 2.1 Kerberos tgt javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: F.
kinit -kt /etc/keytabs/keytab kafka/[email protected] 转换为java代码
03-02
The `kinit` command is typically used to obtain and cache a Kerberos ticket-granting ticket (TGT) for a user or service principal. The `-kt` option specifies the path to the keytab file containing the service principal's key, and the principal name `kafka/[email protected]` specifies the service principal to use for authentication. Here is an example Java code snippet that shows how to use the `javax.security.auth.Subject` and `javax.security.auth.login.LoginContext` classes to obtain a Kerberos TGT using a keytab file: ```java import javax.security.auth.Subject; import javax.security.auth.login.LoginContext; import javax.security.auth.login.LoginException; import java.io.File; public class KerberosAuthenticator { public static void main(String[] args) { String keytabPath = "/etc/keytabs/keytab"; String principalName = "kafka/[email protected]"; // Set up the Kerberos login configuration System.setProperty("java.security.auth.login.config", "/etc/krb5.conf"); // Create a new subject to hold the Kerberos credentials Subject subject = new Subject(); // Create a new login context using the keytab and principal try { LoginContext loginContext = new LoginContext("KafkaClient", subject, null, new KeytabPrincipalAuthenticationModule(keytabPath, principalName)); loginContext.login(); } catch (LoginException e) { System.err.println("Failed to login: " + e.getMessage()); return; } // Print out the Kerberos ticket details System.out.println("Kerberos ticket granted to:"); subject.getPrincipals().forEach(System.out::println); } private static class KeytabPrincipalAuthenticationModule implements javax.security.auth.spi.LoginModule { private final String keytabPath; private final String principalName; private boolean succeeded = false; public KeytabPrincipalAuthenticationModule(String keytabPath, String principalName) { this.keytabPath = keytabPath; this.principalName = principalName; } @Override public void initialize(Subject subject, CallbackHandler callbackHandler, java.util.Map<String, ?> sharedState, java.util.Map<String, ?> options) { } @Override public boolean login() throws LoginException { // Create a new Kerberos login configuration based on the specified keytab and principal javax.security.auth.login.Configuration config = new javax.security.auth.login.AppConfigurationEntry[] { new javax.security.auth.login.AppConfigurationEntry( "com.sun.security.auth.module.Krb5LoginModule", javax.security.auth.login.AppConfigurationEntry.LoginModuleControlFlag.REQUIRED, java.util.Map.of( "useKeyTab", "true", "keyTab", keytabPath, "principal", principalName, "storeKey", "true", "doNotPrompt", "true" ) ) }; // Attempt to authenticate using the keytab and principal javax.security.auth.login.LoginContext context = new javax.security.auth.login.LoginContext("", null, null, config); context.login(); // Add the Kerberos credentials to the subject succeeded = true; subject.getPrivateCredentials().add(context.getTicket()); return true; } @Override public boolean commit() throws LoginException { return succeeded; } @Override public boolean abort() throws LoginException { return false; } @Override public boolean logout() throws LoginException { subject.getPrivateCredentials().clear(); return true; } } } ``` This code defines a `K

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明哥的IT随笔

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值