如何通过Kerberos建立两台服务器之间的信任

最新推荐文章于 2024-07-01 14:05:34 发布
最新推荐文章于 2024-07-01 14:05:34 发布
阅读量2.7k 收藏 3
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ll641058431/article/details/53327076
版权

keywords: ssh crontab kerberos


场景: 我们经常要在服务器上定时的执行一些脚本,而这些脚本又需要访问另外一些服务器

问题: 我们的服务器采用的是kerberos认证,那么定时执行的脚本如何获取授权并成功访问另外一台服务器

解决办法:利用keytab来授权

让我们来假定一个场景:我们有A和B两台服务器,我们的需求是在A服务器上每天定时去在B服务器上执行echo "hello"命令

第一步:准备A上的脚本,在脚本开头加上如下的代码export PATH="/usr/kerberos/bin:$PATH" #kerberos 安装目录
export KRB5CCNAME=/tmp/krb5cc_pub_$$ #产生的pubkey存放的目录
trap kdestroy 0 1 2 3 5 15 #命令结束后删除pubkey
kinit -k -t /etc/krb5.keytab
第二步:B服务器授权A服务器的访问权限
在B服务器上的.k5login文件中添加 host/testhost@XXX.COM 其中testhost为A的服务器名,在.k5login的配置文件中服务器名必须小写!!!

补充:
由于有些机器是web账号,可能连读取/etc/krb5.keytab权限都没有,导致使用keytab认证失败,这时可以变化
一下,来进行keytab认证,步骤如下:
(1)找一台keytab认证没有问题的机器,将其/etc/krb5.keytab拷到你的目标机器上(如/data/web目录下面)
用klist -k /data/web/krb5.keytab看一下文件内容.比如

Keytab name: FILE:/data/web/krb5.keytab
KVNO Principal
3 host/sjswt37-52.opi.com@XIAONEI.OPI.COM
3 host/sjswt37-52.opi.com@XIAONEI.OPI.COM
3 host/sjswt37-52.opi.com@XIAONEI.OPI.COM
3 host/sjswt37-52.opi.com@XIAONEI.OPI.COM
由于37-52的keytab认证是ok的,所以接下来将采用37-52的principal进行keytab认证
(2)采用拷贝过来keytab进行认证
kinit -k -t /data/web/krb5.keytab host/sjswt37-52.opi.com@XIAONEI.OPI.COM


一下是过去的尝试,mark一下
——————————————————————————————
export PATH="/usr/kerberos/bin:/usr/local/bin:/bin:/usr/bin:/data/web/bin:/opt/apache-maven/bin:/data/web/java/bin"
export PATH="/usr/kerberos/bin:$PATH"
export KRB5CCNAME=/tmp/krb5cc_pub_$$
trap kdestroy 0 1 2 3 5 15
kinit -k -t /etc/krb5.keytab


不过貌似服务器上我没有root权限,所以
kinit -k -t /etc/krb5.keytab
时会报错。
老司儿
关注
专栏目录
启用AWS EMR专职KDC跨域信任(Cross-Realm Trust)的注意事项
Laurence的技术博客
04-12 950
文章目录注意事项VPC配置参考重要的日志常见错误 启用Cross-Realm Trust后,将对要创建EMR集群提出多个“隐性”的限制条件,启用前需要清楚并满足这些约束条件,否则创建EMR集群就会失败。 注意事项 EMR集群必须在一个IP长度少于9个字符的VPC里。为了满足这一条件,VPC的CIDR最好取10.0.0.0/16,子网的CIDR可以依次取10.0.1.0/24,10.0.2.0/24等。这样可以确保IP总长度在9个字符之内。之所以有这样的限制是因为AWS总是基于IPv4地址分配DNS主机名
Spring Security Kerberos 环境搭建
weixin_44417481的博客
11-19 2469
如何将Kerberos用到具体的项目中才是我们真正需要掌握的,而网上能够查到的资料又非常稀少,为了将我2个月的研究过程进行整理,并希望能给恰巧遇到同样问题的你提供一点帮助,特整理了本篇文章,当然内容肯定会由很多错误的地方,还望嘴下留情,我们才好共同探讨。
Kerberos验证过程
weixin_34409703的博客
08-21 348
参考文献: How the Kerberos Version 5 Authentication Protocol Works: Logon and Authentication SQL Kerberos的原理及实验 SQL Server配置delegation实现double-hop 前言 之前写过两篇关于kerberos的博客,但是对于kerberos的验证过程还不够透彻,现在来详细讲...
多实例kerberos_如何使用Kerberos链接两个SQL Server实例
culuo4781的博客
07-24 628
多实例kerberos 介绍 (Introduction) Intended audience 目标听众 This document is intended for application developers, database administrators and system administrator who plan to create linked servers b...
kerberos互信详细步骤
最新发布
sunxunyong的博客
07-01 594
匹配以下principal:ambari-qa@EXAMPLE.COM 、nn/c6501.ambari.apache.org@EXAMPLE.COM、any_name@EXAMPLE.COM。不匹配以下principal:ambari-qa@NOT.EXAMPLE.COM 、nn/c6501.ambari.apache.org@OTHER.REAM。RULE:[2:$1@$0] 会将nn/c6501.ambari.apache.org@EXAMPLE.COM 转换为nn@EXAMPLE.COM。
服务器认证信息,服务器认证过程与认证方法
weixin_29510921的博客
08-03 1052
原标题:服务器认证过程与认证方法服务器认证在传输层进行,是根据服务器持有一个公私密钥对的原理。一台服务器可能会有多个主机密钥,用于多个不同的非对称加密算法。而多个主机又可能共享同一个主机密钥。在任何情况下,服务器的主机密钥都是在密钥交换阶段用来认证主机身份的。为了其可行性,客户端必须有服务器主机公钥的先验信息。(1)在客户端拥有一个本地的数据库将每一个主机名(由用户输入的)与对应的主机公钥联系起来...
域内渗透约束委派
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
09-20 2747
域渗透约束委派的利用
kerberos】hadoop集群使用keytab认证的逻辑_centos 8 hadoop-2
2401_84166878的博客
04-13 264
以上环境变量常用的有:krb5.conf或krb5.ini文件路径KRB5CCNAMEkerberos cache文件路径(注:此文件可由MIT kerberos客户端生成)
php 实现kerberos认证,Kerberos简介_PHP教程
weixin_35885813的博客
03-23 432
Kerberos简介Kerberos协议:Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安全性。条件先来看看Kerbe...
【大数据安全】基于Kerberos的大数据安全验证方案
Mantou的博客
11-03 578
1.背景 互联网从来就不是一个安全的地方。很多时候我们过分依赖防火墙来解决安全的问题,不幸的是,防火墙是假设“坏人”是来自外部的,而真正具有破坏性的攻击事件都是往往都是来自于内部的。 近几年,在thehackernews等网站上总会时不时看到可以看到一些因为数据安全问题被大面积攻击、勒索的事件。在Hadoop1.0.0之前,Hadoop并不提供对安全的支持,默认集群内所有角色都是可靠的。...
hadoop安全机制Kerberos详细介绍
cqboy1991的专栏
01-26 5125
Kerberos 1、Kerberos是一个基于共享密钥对称加密的安全网络认证系统,它避免了将密码(包括密码hash)在网上传输,而是将密码作为对称加密的密钥,通过能不能解密来验证用户的身份; 2、Kerberos在验证完用户身份后会发给用户Ticket,这个Ticket包含了用户的授权,用户拿着这个Ticket去享受各种服务,所以在Kerberos管理的范围内用户只需要登录一次就可以
kerberos】kinit: Credential cache directory “/run/user/0/krb5cc“ does not exist while getting
Mrerlou的博客
02-15 416
在用SUSE 操作系统安装 CM 大数据平台,在 集群开启 kerberos 操作时报错,报错内容如下: 环境信息 SUSE Linux Enterprise Server 12 Service Pack 1 (SLES 12 SP5)看下报错的路径,如我这里是,,可能每个人不一样,替换成自己的。 在重新执行,问题解决!
Kerberos双机备份方案
sharkdoodoo
12-09 575
一、参照官网和技术博客建立主从模式: 参考网上博文: 1、http://web.mit.edu/kerberos/krb5-latest/doc/admin/install_kdc.html 2、http://blog.csdn.net/high2011/article/details/59480568 建立主从机制,以做到kdc备份的效果 但是本人在进行到将Master kdc数据库数据同步到s...
基于Kerberos的跨域身份认证实验
Shirongliang的博客
12-03 2042
跨域身份认证技术是身份认证技术的一种典型应用,随着云计算的快速发展和大规模部署,传统的网络架构发生了深刻的变革,带来了新的安全挑战。在云环境下,身份提供者、认证凭证和签发机构的多元化造成用户访问时需穿越多个安全域,跨域身份认证已成为云安全的难点问题。Kerberos是一种网络认证协议,它使用对称加密的技术实现网络中的身份认证。目前大数据组件(如HDFS/ YARN/ HBase/Hive/Kafka/Spark 等等)基本上都默认支持Kerberos身份认证。
Kerberos认证原理与使用教程
m0_46168848的博客
02-21 7878
Kerberos认证原理与使用教程
域渗透之委派攻击全集
include_voidmain的博客
08-22 532
域渗透之委派攻击全集
linux kill进程和子进程小trick
热门推荐
yukangkk的技术博客
09-05 1万+
我们的hive web是调用polestar restful service(https://github.com/lalaguozhe/polestar-1)来执行具体的hive或者shark语句的,这几天有用户说hive web上的kill按钮失效了,虽然已经显示停止了查询,但是其实提交到jobtracker的mapred job或者spark worker节点上作业还在running。我看了下,确实有这个问题。 polestar对于每一条query执行的语句如下
Kerberos 的安装和使用
u011250186的博客
11-25 3851
Kerberos 的安装和使用
Windows域认证(Kerberos认证)图解
Howell_0626的博客
06-30 2557
Windows域认证(Kerberos认证)图解
NFS与Kerberos集成:Linux服务器配置指南
主要内容包括Kerberos服务器配置、NFS服务器配置以及NFS客户端配置。 Kerberos是一种网络认证协议,它提供了安全的身份验证和授权服务。在这个任务中,Linux-1被配置为Kerberos认证服务器(Key Distribution Center...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值