Ktpass和KTab的主要用法

最新推荐文章于 2022-02-25 18:19:43 发布
最新推荐文章于 2022-02-25 18:19:43 发布
阅读量1.1k 收藏 2
点赞数 1
文章标签: Tomcat Windows C C++ C#

不少人都没搞清楚Ktpass跟Ktab的用法,特此写一篇文章来叙说一下。
我假设你对Kerberos有所认识,可以读我的一篇文章<Weblogic Security In Action>中篇,里面初步介绍了Kerberos协议(基于Windows KDC)。
在Kerberos中,安全性完全是依赖于Share Secret,也就是,KDC跟Kerberos Service之间都共享着一条Key,Ktpass这个命令行工具承担着这样一个角色,它能够将非Windows Kerberos服务配置一个Service Principal,通常类似于HTTP/Service@DomainName,并且同时生成一个Keytbab,这样做的目的是在Windows域中的KDC和非Windows的服务(Kerberos Service)建立一种安全的信任关系,Keytab文件中就是存放着那条非常重要的跟KDC打交道的Secret Key。

你更改了Keytab中的Key,就必须同时更改Kerberos database中的Key。操作Keytab,JDK提供了一个很好的工具叫做KTab。


首先,在Windows域控制器上创建一个用户tomcat2005, 这是一个Windows的用户,我们使用Ktpass将一个Kerberos service (HTTP/tomcat@MYDAVID.ORG)Mapping到这个用户上面。Ktpass会修改当前用户在Windows AD中的用户登录名,你可以用setspn -L tomcat2005来查看究竟有多少Service Principal绑定到tomcat2005上。


C:\>ktpass -princ HTTP/tomcat@MYDAVID.ORG  -mapuser tomcat2005 -pass tomcat2005 -out tomcat2005_keytab -crypto des-cbc-md5
Successfully mapped HTTP/tomcat to tomcat2005.
Key created.
Output keytab to tomcat2005_keytab:

Keytab version: 0x502
keysize 50 HTTP/tomcat@MYDAVID.ORG ptype 1 (KRB5_NT_PRINCIPAL) vno 1 etype 0x3 (DES-CBC-MD5) keylength 8 (0xb64540dace6e70d3)
Account has been set for DES-only encryption.


接着,执行,目的是往keytab上面增加新的service principal。
C:\>ktab -k tomcat2005_keytab -a HTTP/tomcat@MYDAVID.ORG
Password for HTTP/tomcat@MYDAVID.ORG:tomcat2005
Done!
Service key for HTTP/tomcat@MYDAVID.ORG is saved in C:\\tomcat2005_keytab

你可能问,Ktpass和Ktab都往keytab文件两面写Key,其实,他们都是写同样的Key,只不过Ktpass还有一个AD帐号Set SPN Name的作用。

还可以通过ktab -l -k tomcat2005_keytab, 来看看里面究竟有针对什么Service的Key

C:\>ktab -l -k tomcat2005_keytab
Keytab name: C:\\tomcat2005_keytab
KVNO    Principal
--------------------------------
  4     HTTP/tomcat@MYDAVID.ORG

KVNO是Service Key的更新序号,不需要理会,关键的是Principal。

iteye_20259
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
服务器使用Kerberos安全验证保护网络文件系统(NFS)
缘起宇轩阁
12-27 4189
在本文中,我将讨论如何配置基于网络文件系统的UNIX客户端,通过RPCSEC_GSS协议使用Kerberos安全验证来实现网络文件系统下连接Windows服务器。 传统的网络文件系统客户端和服务器使用系统集成认证安全验证。它最重要的是允许客户端向网络文件系统服务器发送表明UNIX用户的用户ID或用户组ID的验证信息。每个网络文件系统请求都在传入请求中标明UNIX用户的用户ID或用户组ID。这种验证方式提供的安全性比较低,因为客户端可以通过标明一个不同用户的用户ID或用户组ID来欺骗请求。这种验证方式也是很
SPRING SECURITY KERBEROS/SPNEGO EXTENSION
jackson87的博客
08-27 361
KERBEROS/SPNEGO是spring-security项目的扩展,同时也是实现Windows Active Directory认证的一种方式,其流程和配置可参考http://lengyun3566.iteye.com/blog/1404943,这篇文章讲的比较详细。在开发过程中通过ktpass映射用户名这步有2种方式(我只知道2种): 1、ktpass -princ HTTP/项目部署所...
ibm tivoli_IBM Tivoli Access Manager:WebSEAL Kerberos连接
cuyi7076的博客
06-28 922
总览 IBM®Tivoli®Access Manager(TAM)v6.1引入了WebSEAL的Kerberos联结的概念。 Kerberos联结可用于对已启用Kerberos身份验证的Web服务器执行单点登录。 Kerberos STS模块(在Tivoili联合身份管理器(TFIM)v6.2中引入)管理Kerberos令牌的生成,该令牌用于执行SSO。 SSO操作期间使用的身份可以是已建...
Documentum Webtop SSO 配置指南
ddj7833的博客
10-07 290
去年做Documentum项目时,客户要求配置单点登录(SSO)。跟着EMC给的文档配置时发现了很多错误,有些问题甚至EMC的support也搞不清楚。后来前后花了两个月时间终于配置成功并且部署在客户的生产环境上,目前运行稳定。 博客园的开篇文章,就把这个自己原创的SSO配置指南奉献出来。因为原文我是用英文写的,时间关系,这里就不翻译了。 EMC Documentum Webtop ...
Linux 下 配置Apache使用Windows AD集成认证(SSO)
shidb的博客
01-25 1795
Kerberos 知识-简单理解验证过程 Kerberos是网络授权协议,是设计的很复杂的可防止伪造的安全的身份认证机制.最重要的一点就是密码不会在网络上传输,以防止被窃取. Kerberos 设计中主要涉及有三个对象,需要服务的Client,提供认证的(KDC),和提供服务的Server.当Client 访问 Server 时,会先向KDC要一张访问Server的票,然后拿着那张票去Server...
制作Windows集成认证所需的keytab文件
janusdo的专栏
01-07 1993
(1).在 Active Directory 服务器中,为运行认证墙的主机创建一个用户帐户(选择“新建”&gt;“用户”,而不是“新    建”&gt;“计算机”)。   在创建该用户帐户时,应使用计算机的简单名称。例如,在 Active Directory 中创建一个名为 authwall的用户。   请记录下创建用户帐户时定义的密码。在步骤 3 中将需要使用此密码。请勿选择“用户必须在...
ktab-crx插件
04-03
您不仅可以使用Ktab整理浏览器,而且可以减少Chrome的内存使用量,并深入了解如何浏览网络。 使用Ktab几个月(或几年),然后浏览存档,查看您在人生中给定时间段内感兴趣的内容。 网站构成了有史以来最大的信息存储...
ktable-src.zip_KTABLE src_KTab_Ktable_RCP-Trainning_rcp
最新发布
09-20
在"rcp-trainning"(RCP训练)阶段,学习和掌握KTABLE的使用至关重要。RCP是一种基于Java的框架,用于构建桌面应用程序,而KTABLE的集成能显著提升RCP应用的界面质量。通过实践和训练,开发者能够熟练运用KTABLE的...
家庭作业java
10-22
Java线程在运行时除了使用堆内存(Heap)用于对象分配外,还需要一定的非堆内存,包括栈空间、程序计数器、本地方法栈和元空间。每个线程都有自己独立的栈,用于存储方法调用的局部变量和操作数。栈的大小取决于JVM...
4X8矩阵键盘标题要常没办法
06-05
在给出的代码中,使用了循环和位操作(如RRC、RLC)来完成这一过程。最后,通过查表(如KTAB)找到与特征值匹配的键值,并存储在特定寄存器中。 在实际应用中,单片机不断执行键盘扫描子程序,检测按键状态。一旦...
Windouws 64 位Tomcat7.0.40 + 64位jdk1.7.0u21 绿色版.part1
05-15
│ │ │ │ ktab.exe │ │ │ │ libxml2.dll │ │ │ │ libxslt.dll │ │ │ │ management.dll │ │ │ │ mlib_image.dll │ │ │ │ msvcr100.dll │ │ │ │ net.dll │ │ │ │ nio.dll │ │ │ │ ...
基于MS客户端的单点登陆
永远のZM专栏
03-31 1128
Microsoft 客户端单一登录概述 通过使用 Microsoft 客户端进行单一登录 (SSO),可以在 WebLogic Server 域中运行的 Web 应用程序或 Web Service 与 Microsoft 域中的 .NET Web Service 客户端或浏览器客户端(例如,Internet Explorer)之间进行跨平台身份验证。Microsoft 客户端必须使用基于简单和
charles为什么只能运行30分钟_linux – 运行ktpass.exe后,Kerberos服务只能运行30分钟...
weixin_29008805的博客
12-30 151
我还从Achim Grolms的mod_auth_kerb教程开始学习Kerberos,这真是一篇很好的文档.keytab文件仅替换密码身份验证.密码在文件中编码,这些字节用于KDC的身份验证质询.服务帐户上的任何密码更改都将使keytab身份验证无效,并且还会增加kvno编号.要确认服务帐户SPN可用,我经常使用服务帐户密码进行身份验证:kinit HTTP/mysite.mycorp.com@...
java中k的指令,java11教程--ktab命令
weixin_42499004的博客
03-14 320
您可以使用ktab工具来管理存储在本地密钥表中的主体名称和服务密钥。概要ktab commands optionscommands options列出密钥表名称和条目,向密钥表添加新的密钥项,删除现有的密钥项并显示说明。请参阅命令和选项。描述在ktab使用户能够管理存储在本地密钥表中的主体名称和服务密钥。密钥表中列出的主体和密钥对使主机上运行的服务可以向密钥分发中心(KDC)进行身份验证。在配置服...
Windows 命令
allway2的博客
12-14 799
所有受支持的 Windows 版本(服务器和客户端)都具有内置的一组 Win32 控制台命令。 此文档集介绍了可用于通过脚本或脚本工具自动执行任务的 Windows 命令。 若要查找有关特定命令的信息,请在下面的 A-z 菜单中,单击命令开头的字母,然后单击命令名称。 @NO__T-1B|C|D|E|F| 1G3H5I7J9K1L3M5N7O9P1Q3R5S@NO__...
[运维笔记] - (命令).Windows server常用网络相关命令总结
jclee95的个人博客
11-03 6139
命令 说明 ping 通过向另一台 TCP/IP 计算机发送 Internet 控制消息协议 (ICMP) 回响请求消息来验证 IP 级连接。 pathping 提供有关源和目标之间的中间跃点网络延迟和网络丢失情况的信息。 hostname 显示计算机的完整计算机名的主机名部分。 ipconfig 显示所有当前的 TCP/IP 网络配置值,并刷新动态主机配置协议 (DHCP) 和域名系统 (DNS) 设置。 netstat 显示活动 TCP 连接、计算机正在收听的端口、以太...
活动目录环境下Apache单点登录(SSO)的实现
windowsxpwyd的专栏
02-25 6110
1、实验环境          公司部署有微软的活动目录,假设域名为wyd.com,一台Web服务器,运行在Red hat  Enterpise Linux 5.5上,该网站原本只在内网访问,现由于业务的发展,需要发布到互联网上,以便销售人员和维护人员通过互联网随时能访问到,但由于该网站的内容涉及商业数据,不能让非公司人员随意访问到。 2、实验目的         为了保证数据的安全,需要在Apache上做身份验证,如果用传统的Apache的认证机制的话就会给用户带来麻烦,因为用户要输
使用 Microsoft 客户端配置单一登录
gzg844cz
01-20 226
使用 Microsoft 客户端配置单一登录 2010年12月31日   以下部分描述如何通过基于简单和受保护协商(Simple and Protected Negotiate,简称 SPNEGO)机制和 Kerberos 协议的 Windows 身份验证以及 WebLogic 协商标识声明提供程序来使用 Microsoft 客户端设置单一登录(Single Sign-On,简称 SSO...
kerberos配置方法
weixin_33961829的博客
07-18 1687
为什么80%的码农都做不了架构师?>>> ...
Unity 【Content Size Fitter】- 聊天气泡自动适配Text文本框大小
当代野生程序猿
02-25 5458
通常在展示人物对话的时候文本的长度是不定的,因此会需要动态的调整对话内容文本框的背景图片的大小,这里以如下这种气泡框的对话为例: 实现该需求涉及到的内容包括Content Size Fitter组件的使用、2D Sprite工具包的使用。 Content Size Fitter组件用于Text文本框,如图所示,我们将Horzontal Fit设为Preferred Size,当我们调整Text文本框中的内容时,其大小会自动进行调整。 注意Rect Transform中Pivot轴心点的设置

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值