Ktpass和KTab的主要用法

最新推荐文章于 2022-08-10 09:58:52 发布
最新推荐文章于 2022-08-10 09:58:52 发布
阅读量1.1k 收藏 2
点赞数 1
文章标签: Tomcat Windows C C++ C#

不少人都没搞清楚Ktpass跟Ktab的用法,特此写一篇文章来叙说一下。
我假设你对Kerberos有所认识,可以读我的一篇文章<Weblogic Security In Action>中篇,里面初步介绍了Kerberos协议(基于Windows KDC)。
在Kerberos中,安全性完全是依赖于Share Secret,也就是,KDC跟Kerberos Service之间都共享着一条Key,Ktpass这个命令行工具承担着这样一个角色,它能够将非Windows Kerberos服务配置一个Service Principal,通常类似于HTTP/Service@DomainName,并且同时生成一个Keytbab,这样做的目的是在Windows域中的KDC和非Windows的服务(Kerberos Service)建立一种安全的信任关系,Keytab文件中就是存放着那条非常重要的跟KDC打交道的Secret Key。

你更改了Keytab中的Key,就必须同时更改Kerberos database中的Key。操作Keytab,JDK提供了一个很好的工具叫做KTab。


首先,在Windows域控制器上创建一个用户tomcat2005, 这是一个Windows的用户,我们使用Ktpass将一个Kerberos service (HTTP/tomcat@MYDAVID.ORG)Mapping到这个用户上面。Ktpass会修改当前用户在Windows AD中的用户登录名,你可以用setspn -L tomcat2005来查看究竟有多少Service Principal绑定到tomcat2005上。


C:\>ktpass -princ HTTP/tomcat@MYDAVID.ORG  -mapuser tomcat2005 -pass tomcat2005 -out tomcat2005_keytab -crypto des-cbc-md5
Successfully mapped HTTP/tomcat to tomcat2005.
Key created.
Output keytab to tomcat2005_keytab:

Keytab version: 0x502
keysize 50 HTTP/tomcat@MYDAVID.ORG ptype 1 (KRB5_NT_PRINCIPAL) vno 1 etype 0x3 (DES-CBC-MD5) keylength 8 (0xb64540dace6e70d3)
Account has been set for DES-only encryption.


接着,执行,目的是往keytab上面增加新的service principal。
C:\>ktab -k tomcat2005_keytab -a HTTP/tomcat@MYDAVID.ORG
Password for HTTP/tomcat@MYDAVID.ORG:tomcat2005
Done!
Service key for HTTP/tomcat@MYDAVID.ORG is saved in C:\\tomcat2005_keytab

你可能问,Ktpass和Ktab都往keytab文件两面写Key,其实,他们都是写同样的Key,只不过Ktpass还有一个AD帐号Set SPN Name的作用。

还可以通过ktab -l -k tomcat2005_keytab, 来看看里面究竟有针对什么Service的Key

C:\>ktab -l -k tomcat2005_keytab
Keytab name: C:\\tomcat2005_keytab
KVNO    Principal
--------------------------------
  4     HTTP/tomcat@MYDAVID.ORG

KVNO是Service Key的更新序号,不需要理会,关键的是Principal。

iteye_20259
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windouws 64 位Tomcat7.0.40 + 64位jdk1.7.0u21 绿色版.part1
05-15
Windouws 64 位Tomcat7.0.40 + 64位jdk1.7.0u21 绿色版 part1 纯绿色,官方下载,绝对可用~ 欢迎评论吐槽~ 文件 PATH 列表 │ LICENSE │ NOTICE │ RELEASE-NOTES │ RUNNING.txt │ ├─bin │ bootstrap.jar │ catalina-tasks.xml │ catalina.bat │ catalina.sh │ commons-daemon-native.tar.gz │ commons-daemon.jar │ configtest.bat │ configtest.sh │ cpappend.bat │ daemon.sh │ digest.bat │ digest.sh │ service.bat │ setclasspath.bat │ setclasspath.sh │ shutdown.bat │ shutdown.sh │ startup.bat │ startup.sh │ tcnative-1.dll │ tomcat-juli.jar │ tomcat-native.tar.gz │ tomcat7.exe │ tomcat7w.exe │ tool-wrapper.bat │ tool-wrapper.sh │ version.bat │ version.sh │ ├─conf │ │ catalina.policy │ │ catalina.properties │ │ context.xml │ │ context.xml.bak │ │ logging.properties │ │ server.xml │ │ server.xml.bak │ │ tomcat-users.xml │ │ web.xml │ │ │ └─Catalina │ └─localhost ├─jdk1.7.0_21 │ │ COPYRIGHT │ │ LICENSE │ │ README.html │ │ release │ │ src.zip │ │ THIRDPARTYLICENSEREADME-JAVAFX.txt │ │ THIRDPARTYLICENSEREADME.txt │ │ │ ├─bin │ │ appletviewer.exe │ │ apt.exe │ │ extcheck.exe │ │ idlj.exe │ │ jabswitch.exe │ │ jar.exe │ │ jarsigner.exe │ │ java-rmi.exe │ │ java.exe │ │ javac.exe │ │ javadoc.exe │ │ javafxpackager.exe │ │ javah.exe │ │ javap.exe │ │ javaw.exe │ │ javaws.exe │ │ jcmd.exe │ │ jconsole.exe │ │ jdb.exe │ │ jhat.exe │ │ jinfo.exe │ │ jli.dll │ │ jmap.exe │ │ jps.exe │ │ jrunscript.exe │ │ jsadebugd.exe │ │ jstack.exe │ │ jstat.exe │ │ jstatd.exe │ │ jvisualvm.exe │ │ keytool.exe │ │ kinit.exe │ │ klist.exe │ │ ktab.exe │ │ msvcr100.dll │ │ native2ascii.exe │ │ orbd.exe │ │ pack200.exe │ │ policy
netjoin/ktpass-开源
05-03
该项目提供了Microsoft的netjoin示例代码(对于Unix,= ktpass)的更新,可与W2k3和rc4-hmac加密一起使用。
ktable-src.zip_KTABLE src_KTab_Ktable_RCP-Trainning_rcp
最新发布
09-20
ktable是Eclipse RCP开发时使用简单、功能强大的表格控件。
Kerberos相关资料整理
tanzhangwen的专栏
08-01 1233
Creating Kerberos KeytabFiles Compatible with Active Directory BeforeI demonstrate how to create the keytab, a word about encryption.  Thereare a number of encryption types used for hashing a passwor
总结:大数据服务
w2009211777的专栏
08-10 2425
Hadoop大数据服务梳理
Documentum Webtop SSO 配置指南
ddj7833的博客
10-07 287
去年做Documentum项目时,客户要求配置单点登录(SSO)。跟着EMC给的文档配置时发现了很多错误,有些问题甚至EMC的support也搞不清楚。后来前后花了两个月时间终于配置成功并且部署在客户的生产环境上,目前运行稳定。 博客园的开篇文章,就把这个自己原创的SSO配置指南奉献出来。因为原文我是用英文写的,时间关系,这里就不翻译了。 EMC Documentum Webtop ...
kerberos原理及使用
sanbudeyu_008的博客
05-05 2820
介绍了kerberos的原理、配置、重要的命令行
Linux 下 配置Apache使用Windows AD集成认证(SSO)
shidb的博客
01-25 1763
Kerberos 知识-简单理解验证过程 Kerberos是网络授权协议,是设计的很复杂的可防止伪造的安全的身份认证机制.最重要的一点就是密码不会在网络上传输,以防止被窃取. Kerberos 设计中主要涉及有三个对象,需要服务的Client,提供认证的(KDC),和提供服务的Server.当Client 访问 Server 时,会先向KDC要一张访问Server的票,然后拿着那张票去Server...
制作Windows集成认证所需的keytab文件
janusdo的专栏
01-07 1954
(1).在 Active Directory 服务器中,为运行认证墙的主机创建一个用户帐户(选择“新建”&gt;“用户”,而不是“新    建”&gt;“计算机”)。   在创建该用户帐户时,应使用计算机的简单名称。例如,在 Active Directory 中创建一个名为 authwall的用户。   请记录下创建用户帐户时定义的密码。在步骤 3 中将需要使用此密码。请勿选择“用户必须在...
服务器使用Kerberos安全验证保护网络文件系统(NFS)
缘起宇轩阁
12-27 4173
在本文中,我将讨论如何配置基于网络文件系统的UNIX客户端,通过RPCSEC_GSS协议使用Kerberos安全验证来实现网络文件系统下连接Windows服务器。 传统的网络文件系统客户端和服务器使用系统集成认证安全验证。它最重要的是允许客户端向网络文件系统服务器发送表明UNIX用户的用户ID或用户组ID的验证信息。每个网络文件系统请求都在传入请求中标明UNIX用户的用户ID或用户组ID。这种验证方式提供的安全性比较低,因为客户端可以通过标明一个不同用户的用户ID或用户组ID来欺骗请求。这种验证方式也是很
ktab-crx插件
04-03
您不仅可以使用Ktab整理浏览器,而且可以减少Chrome的内存使用量,并深入了解如何浏览网络。 使用Ktab几个月(或几年),然后浏览存档,查看您在人生中给定时间段内感兴趣的内容。 网站构成了有史以来最大的信息存储...
kerberos跨域互信_使用Kerberos的Web服务安全互操作性
cuyi7076的博客
06-24 2035
需要Web服务安全性标准,以确保异构环境中的互操作性。 WS-Security标准及其依赖项(例如WS-Trust和WS-Security Policy)是该领域中的重要标准。 WS-Security与安全令牌无关,允许使用多种安全令牌类型。 在内联网方案中流行的一种安全令牌类型是Kerberos令牌。 这主要是因为Kerberos是Microsoft Active Directory服务器中...
网站识别Windows AD 域账号,并自动登录
热门推荐
vn700的专栏
03-19 1万+
KDC (windows 2008): 10.0.2.12 (也就是域服务器) Workstation (windows 10): 10.0.2.100(也就是公司域内电脑) Webserver (CentOS release 6.5 (Final), apache2.4): 10.0.2.15webserver.example.com 1、配置Webserver,在 10.0.2.15...
ads无法启用状态服务器,NAC ADSSO 无法工作在Microsoft 2008服务器版本
weixin_39581716的博客
08-01 1638
目录技术领域NAC, Single Sign On, Kerbose, ActiveDomain问题描述当客户将自己的域Server从Win2003升级到Win2008后,发现所有部署NAC的用户无法登录Windows域。ADSSO认证流程阶段1:在AD server 上使用KTpass命令创建CAS的认证账户CAS 首先发起一个认证请求用于开启ADSSO服务AD server 响应认证请求,成功...
SpringSecurityKerberos使用碰到的问题解决
be Free & Happy
02-23 877
@DOMAIN 域名大写 主机名0和O要分清 生成keytab: # setspn -A HTTP/clone-WIN-0KD0B8USQGC.fuhao.com fuhao # ktpass /out c:\fuhao.keytab /mapuser [email protected] /princ HTTP/[email protected] /pass Password# /ptype KRB5_NT_PRINCIPAL /crypto All..
charles为什么只能运行30分钟_linux – 运行ktpass.exe后,Kerberos服务只能运行30分钟...
weixin_29008805的博客
12-30 139
我还从Achim Grolms的mod_auth_kerb教程开始学习Kerberos,这真是一篇很好的文档.keytab文件仅替换密码身份验证.密码在文件中编码,这些字节用于KDC的身份验证质询.服务帐户上的任何密码更改都将使keytab身份验证无效,并且还会增加kvno编号.要确认服务帐户SPN可用,我经常使用服务帐户密码进行身份验证:kinit HTTP/mysite.mycorp.com@...
基于MS客户端的单点登陆
永远のZM专栏
03-31 1110
Microsoft 客户端单一登录概述 通过使用 Microsoft 客户端进行单一登录 (SSO),可以在 WebLogic Server 域中运行的 Web 应用程序或 Web Service 与 Microsoft 域中的 .NET Web Service 客户端或浏览器客户端(例如,Internet Explorer)之间进行跨平台身份验证。Microsoft 客户端必须使用基于简单和
大数据技术-Kerberos学习笔记
xiaoyixiao_的博客
03-02 3813
大数据技术-Kerberos学习笔记
Kerberos认证原理与环境部署
匠人精神,持之以恒!
06-04 3756
官网:https://www.kerberos.org/ 官方文档:http://web.mit.edu/kerberos/krb5-current/doc/Kerberos中有以下一些概念需要了解:用户principal的形式:其中Instance是可选 的,通常用于更好地限定用户的类型。比如,一个管理员用户通常会有admin instance,即。下面是指代用户的 一些principal的例子: 2)服务principal 用户principal的形式:下面是指代服务principal的例子: 三、Ke
Unity 【Content Size Fitter】- 聊天气泡自动适配Text文本框大小
当代野生程序猿
02-25 5275
通常在展示人物对话的时候文本的长度是不定的,因此会需要动态的调整对话内容文本框的背景图片的大小,这里以如下这种气泡框的对话为例: 实现该需求涉及到的内容包括Content Size Fitter组件的使用、2D Sprite工具包的使用。 Content Size Fitter组件用于Text文本框,如图所示,我们将Horzontal Fit设为Preferred Size,当我们调整Text文本框中的内容时,其大小会自动进行调整。 注意Rect Transform中Pivot轴心点的设置

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值