如何通过Kerberos建立两台服务器之间的信任

最新推荐文章于 2023-02-21 23:22:35 发布
最新推荐文章于 2023-02-21 23:22:35 发布
阅读量2.7k 收藏 3
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ll641058431/article/details/53327076
版权

keywords: ssh crontab kerberos


场景: 我们经常要在服务器上定时的执行一些脚本,而这些脚本又需要访问另外一些服务器

问题: 我们的服务器采用的是kerberos认证,那么定时执行的脚本如何获取授权并成功访问另外一台服务器

解决办法:利用keytab来授权

让我们来假定一个场景:我们有A和B两台服务器,我们的需求是在A服务器上每天定时去在B服务器上执行echo "hello"命令

第一步:准备A上的脚本,在脚本开头加上如下的代码export PATH="/usr/kerberos/bin:$PATH" #kerberos 安装目录
export KRB5CCNAME=/tmp/krb5cc_pub_$$ #产生的pubkey存放的目录
trap kdestroy 0 1 2 3 5 15 #命令结束后删除pubkey
kinit -k -t /etc/krb5.keytab
第二步:B服务器授权A服务器的访问权限
在B服务器上的.k5login文件中添加 host/testhost@XXX.COM 其中testhost为A的服务器名,在.k5login的配置文件中服务器名必须小写!!!

补充:
由于有些机器是web账号,可能连读取/etc/krb5.keytab权限都没有,导致使用keytab认证失败,这时可以变化
一下,来进行keytab认证,步骤如下:
(1)找一台keytab认证没有问题的机器,将其/etc/krb5.keytab拷到你的目标机器上(如/data/web目录下面)
用klist -k /data/web/krb5.keytab看一下文件内容.比如

Keytab name: FILE:/data/web/krb5.keytab
KVNO Principal
3 host/sjswt37-52.opi.com@XIAONEI.OPI.COM
3 host/sjswt37-52.opi.com@XIAONEI.OPI.COM
3 host/sjswt37-52.opi.com@XIAONEI.OPI.COM
3 host/sjswt37-52.opi.com@XIAONEI.OPI.COM
由于37-52的keytab认证是ok的,所以接下来将采用37-52的principal进行keytab认证
(2)采用拷贝过来keytab进行认证
kinit -k -t /data/web/krb5.keytab host/sjswt37-52.opi.com@XIAONEI.OPI.COM


一下是过去的尝试,mark一下
——————————————————————————————
export PATH="/usr/kerberos/bin:/usr/local/bin:/bin:/usr/bin:/data/web/bin:/opt/apache-maven/bin:/data/web/java/bin"
export PATH="/usr/kerberos/bin:$PATH"
export KRB5CCNAME=/tmp/krb5cc_pub_$$
trap kdestroy 0 1 2 3 5 15
kinit -k -t /etc/krb5.keytab


不过貌似服务器上我没有root权限,所以
kinit -k -t /etc/krb5.keytab
时会报错。
老司儿
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[Poc-A]KDE配置Kerberos KDC互信
王羲之的之的博客
05-13 154
除了kdc master节点以外。如果其它节点也要使用互信,需要增加。
0005-Windows Kerberos客户端配置并访问CDH
Hadoop_SC的博客
11-15 1757
温馨提示:要看高清无码套图,请使用手机打开并单击图片放大查看。 1.概述 本文档描述Windows Server2008 R2(windows的内核版本是6.1,与windows 7相同)下安装Kerberos Client及FireFox下HTTP访问HDFS、Yarn、Hive、HBase等Hadoop服务的Web UI(如Namenode的50070,Yarn的8088)的过程。安装文档...
大数据集群票据碰撞问题
tianjun2012的专栏
03-27 1406
kdc-kerberos 票据缓存在默认的/tmp/krb5cc_*这个文件,会导致有连个严重的问题: linux系统会定期删除/tmp,这回导致偶发性的票据验证失败问题; 多用户并发执行任务的时候,票据会碰撞导致意外结果: shell: 设置环境变量 export KRB5CCNAME=/home/keytab/krb5cc python:改变缓存票据的存放路径 #!/usr/b...
kinit: Failed to store credentials: Internal credentials cache error (filename: /tmp/krb5cc_1006)
cclovezbf的博客
01-03 2676
一般认证可以管一天 续期7天,七天认证下,不也可以么?问题的关键是 你这样一直认证确实可以解决,但是我们使用kerberos的目的就是安全,你这样一直认证,等于说别人只要知道了你devuser的密码就可以(等你认证或有效期内)在hdfs上为所欲为 ,而之前他需要kinit,他需要知道keytab的位置和principal。我们的脚本都是通过dolphin去调用shell,dolphin的用户对应的租户都是producer,就是说只有一个用户,但是有成千上万个任务,真的需要全部都kinit一遍吗?
0557-6.1.0-Kerberos环境下SQL客户端DBeaver配置异常分析
Hadoop_SC的博客
11-30 1418
1 文档编写目的 参考Fayson前面的文章《0469-如何使用DBeaver访问Kerberos环境下的Impala》,环境变量也配置了,krb5.conf文件也准备好了,但在使用SQL客户端攻击DBeaver访问Kerberos环境下的Impala时总是提示“Unable to connect server:GSSinitiate failed”异常。本篇文章主要详细的介绍在Window客户端...
kerberos】kinit: Credential cache directory “/run/user/0/krb5cc“ does not exist while getting
Mrerlou的博客
02-15 374
在用SUSE 操作系统安装 CM 大数据平台,在 集群开启 kerberos 操作时报错,报错内容如下: 环境信息 SUSE Linux Enterprise Server 12 Service Pack 1 (SLES 12 SP5)看下报错的路径,如我这里是,,可能每个人不一样,替换成自己的。 在重新执行,问题解决!
Python通过kerberos安全认证操作kafka方式
12-17
如何通过Kerberos认证. 1.安装Kerberos客户端 CentOS: yum install krb5-workstation 使用which kinit查看是否安装成功; 2.拷贝Kerberos配置文件 conf目录下krb5.conf和kafka.keytab和jaas.conf拷贝到客户端机器...
kerberos-docker:用于kerberos服务器的轻量级docker映像
05-09
Docker映像根据以下环境变量配置kadmind和krb5kdc服务器并启动服务器。 环境变量 默认值 描述 REALM_NAME Example.COM 领域名称 DOMAIN_NAME example.com 域名 KADMIN_PASS Secure_Password Kadmin密码 ...
kerberos安装包
01-01
安装kerberos5时需要的rpm包,版本1.15.1-37.el7_6.x86_64。里面4个文件:krb5-libs-1.15.1-37.el7_6.x86_64.rpm;krb5-server-1.15.1-37.el7_6.x86_64.rpm;krb5-workstation-1.15.1-37.el7_6.x86_64.rpm;libkadm5...
kerberos安全认证
12-29
- **HDFS**: HDFS使用Kerberos进行客户端和服务器之间的身份验证。在HDFS配置中,设置`dfs.namenode.kerberos.principal`和`dfs.datanode.kerberos.principal`等参数。 - **HBase**: HBase同样支持Kerberos,确保...
kerberos mysql配置_Kerberos安装&使用
weixin_29943753的博客
01-28 596
Hadoop自身是没有安全认证的,所以需要引入第三方的安全认证机制。kerberos是hadoop比较受欢迎的一种认证方式。kerberos配置比较简单。但是实际使用的时候,如果不严格遵守游戏规则。你会经常遇到“奇怪”的问题。1. 安装kerberos的软件包yuminstallkrb5*vi/etc/krb5.conf2. 修改kerberos的配置文件#more/etc/krb5.c...
Kerberos安装教程及使用详解
09-15
Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务。这篇文章主要介绍了Kerberos安装教程及使用详解的相关资料,需要的朋友可以参考下
基于Kerberos的跨域身份认证实验
Shirongliang的博客
12-03 1935
跨域身份认证技术是身份认证技术的一种典型应用,随着云计算的快速发展和大规模部署,传统的网络架构发生了深刻的变革,带来了新的安全挑战。在云环境下,身份提供者、认证凭证和签发机构的多元化造成用户访问时需穿越多个安全域,跨域身份认证已成为云安全的难点问题。Kerberos是一种网络认证协议,它使用对称加密的技术实现网络中的身份认证。目前大数据组件(如HDFS/ YARN/ HBase/Hive/Kafka/Spark 等等)基本上都默认支持Kerberos身份认证。
kerberos跨域互信_使用Kerberos的Web服务安全互操作性
cuyi7076的博客
06-24 2066
需要Web服务安全性标准,以确保异构环境中的互操作性。 WS-Security标准及其依赖项(例如WS-Trust和WS-Security Policy)是该领域中的重要标准。 WS-Security与安全令牌无关,允许使用多种安全令牌类型。 在内联网方案中流行的一种安全令牌类型是Kerberos令牌。 这主要是因为Kerberos是Microsoft Active Directory服务器中...
Kerberos认证原理与使用教程
m0_46168848的博客
02-21 7269
Kerberos认证原理与使用教程
域渗透之委派攻击全集
include_voidmain的博客
08-22 497
域渗透之委派攻击全集
Kerberos安装&使用
weixin_34290000的博客
03-26 264
Hadoop自身是没有安全认证的,所以需要引入第三方的安全认证机制。kerberos是hadoop比较受欢迎的一种认证方式。kerberos配置比较简单。但是实际使用的时候,如果不严格遵守游戏规则。你会经常遇到“奇怪”的问题。1. 安装kerberos的软件包yum install krb5* vi /etc/krb5.conf2. 修改kerberos的配置文件# more /etc/krb5....
Kerberoskerberos认证常见错误介绍
热门推荐
wk022的专栏
01-19 5万+
本节按字母顺序 (A-M) 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息。 备注:下面这些错误有部分是通用的错误,所以解决方法并不一定适用所有场景,具体的解决方案是需要具体分析。不能一概而论。 All authentication systems disabled; connectio
linux kill进程和子进程小trick
yukangkk的技术博客
09-05 1万+
我们的hive web是调用polestar restful service(https://github.com/lalaguozhe/polestar-1)来执行具体的hive或者shark语句的,这几天有用户说hive web上的kill按钮失效了,虽然已经显示停止了查询,但是其实提交到jobtracker的mapred job或者spark worker节点上作业还在running。我看了下,确实有这个问题。 polestar对于每一条query执行的语句如下
kafka怎么通过kerberos连接
最新发布
07-25
Kafka可以通过Kerberos进行身份验证和安全连接。下面是通过Kerberos连接Kafka的步骤: 1. 配置Kafka服务器: - 在Kafka服务器上安装Kerberos客户端和服务端软件。 - 配置Kafka服务器的`server.properties`文件,设置以下属性: ``` listeners=SASL_PLAINTEXT://<kafka_server>:<kafka_port> security.inter.broker.protocol=SASL_PLAINTEXT sasl.mechanism.inter.broker.protocol=GSSAPI sasl.enabled.mechanisms=GSSAPI sasl.kerberos.service.name=kafka ``` - 启动Kafka服务器。 2. 创建Kerberos主体和Keytab文件: - 在Kerberos服务器上创建一个服务主体(例如:`kafka/kafka_server_hostname@REALM`)。 - 为该服务主体生成Keytab文件,并将其分发到Kafka服务器。 3. 配置Kafka客户端: - 在Kafka客户端上安装Kerberos客户端软件。 - 配置Kafka客户端的`client.properties`文件,设置以下属性: ``` bootstrap.servers=<kafka_server>:<kafka_port> security.protocol=SASL_PLAINTEXT sasl.mechanism=GSSAPI sasl.kerberos.service.name=kafka sasl.kerberos.principal=<kafka_client_principal> sasl.kerberos.keytab=<kafka_client_keytab> ``` - 将Kerberos客户端的`krb5.conf`文件配置为正确的Kerberos Realm和KDC信息。 4. 使用Kafka客户端: - 使用Kafka提供的Kerberos认证库进行身份验证和连接。 - 例如,使用Kafka命令行工具发送和接收消息: ``` kafka-console-producer.sh --broker-list <kafka_server>:<kafka_port> --topic <topic> --producer.config client.properties kafka-console-consumer.sh --bootstrap-server <kafka_server>:<kafka_port> --topic <topic> --consumer.config client.properties ``` 通过以上步骤,你可以通过Kerberos安全连接到Kafka。请确保正确配置Kerberos和Kafka的相关参数,并提供正确的主体和Keytab文件路径。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值