Kerberos基本命令使用

最新推荐文章于 2024-06-26 16:15:22 发布
最新推荐文章于 2024-06-26 16:15:22 发布
阅读量1.6k 收藏 8
点赞数
分类专栏: Hadoop 文章标签: kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/miaoge_miaoge/article/details/121754805
版权

最近在CDH集群配置Kerberos认证,遇到了不少问题,打算用这篇文章来总结一下

Kerberos基本命令使用

一、Kerberos安装配置文档

https://my.oschina.net/epoch/blog/1634325
https://www.cnblogs.com/mantoudev/p/9460712.html

二、Kerberos专有名词介绍

2.1 Kerberos主体Principal介绍

在官网上有详细的介绍Principal的介绍,链接为:http://web.mit.edu/kerberos/krb5-1.5/krb5-1.5.4/doc/krb5-user/What-is-a-Kerberos-Principal_003f.html

主体是Kerberos可以为其分配票证的唯一标识。主体可以具有任意数量的组件。每个组件都由一个组件分隔符(通常为 /)分隔。最后一个组成部分是领域,由领域分隔符(通常为@)与主体的其余部分分隔。如果主体中没有领域组件,则将假定主体在使用它的上下文中位于默认领域中

Principal的格式一般为:primary/instance@REALM

primary是Principal的一部分,如果是用户,则为用户名,如果是主机则为主机名。

instance是一个可选字符串,用于限定主服务器。该实例与主实例之间用斜杠(/)隔开。对于用户而言,该实例通常为null,但用户可能还具有一个附加的主体,即一个名为admin的实例,用该实例来管理数据库。主体jennifer@ATHENA.MIT.EDU与主体jennifer/admin@ATHENA.MIT.EDU完全分开 ,具有单独的密码和单独的权限。对于主机,实例是标准主机名,例如 daffodil.mit.edu。

REALM是您的Kerberos领域。在大多数情况下,您的Kerberos域是您的域名,以大写字母表示。例如,机器daffodil.example.com就在领域中EXAMPLE.COM

三、Kerberos 命令使用

3.1 登陆kinit

[root@master~]# kinit admin/admin@EXAMPLE.COM
Password for admin/admin@EXAMPLE.COM: 123456

或者使用keytap登陆

[root@master~]# kinit -kt /opt/cdh/hadoop.keytab hadoop/master@EXAMPLE.COM

3.2查询登陆状态klist

[root@master~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: hadoop/hadoop@EXAMPLE.COM

Valid starting       Expires              Service principal
2019-03-03T20:54:55  2019-03-04T20:54:55  krbtgt/EXAMPLE.COM@EXAMPLE.COM

3.3退出登陆kdestroy

[root@master~]# kdestroy
[root@master~]# klist
klist: No credentials cache found (filename: /tmp/krb5cc_0)

3.4登录KDC后台 kadmin.local

[root@master~]# kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local:

如果找不到kadmin.local命令,可以使用find / -name kadmin 来查找
一般的位置为:/usr/bin/kadmin

3.5查看用户列表 listprincs

[root@master~]# kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local:  listprincs
K/M@EXAMPLE.COM
admin/admin@EXAMPLE.COM
hadoop@EXAMPLE.COM
hbase/hadoop1@EXAMPLE.COM
hbase/hadoop2@EXAMPLE.COM

3.6修改账号密码change_password

[root@master~]# kadmin.local

Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local:  change_password admin/admin@EXAMPLE.COM
Enter password for principal "admin/admin@EXAMPLE.COM": 123456
Re-enter password for principal "admin/admin@EXAMPLE.COM": 123456
Password for "admin/admin@EXAMPLE.COM" changed.

3.7创建用户addprinc

[root@master~]# kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
addprinc -pw 123456 hadoop		#创建用户名hadoop用户,密码为123456

创建用户时,不带REALM时,使用默认的REALM

3.8删除用户delprinc

[root@master~]# kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local:  delete_principal test1
Are you sure you want to delete the principal "test1@EXAMPLE.COM"? (yes/no): yes
Principal "test1@EXAMPLE.COM" deleted.
Make sure that you have removed this principal from all ACLs before reusing.

3.9导出keytab文件

[root@master~]# kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local:  xst -k /opt/cdh/admin.keytab -norandkey admin/admin@EXAMPLE.COM
Entry for principal admin/admin@EXAMPLE.COM with kvno 6, encryption type aes256-cts-hmac-sha1-96 added to keytab WRFILE:admin.keytab.
Entry for principal admin/admin@EXAMPLE.COM with kvno 6, encryption type aes128-cts-hmac-sha1-96 added to keytab WRFILE:admin.keytab.
Entry for principal admin/admin@EXAMPLE.COM with kvno 6, encryption type des3-cbc-sha1 added to keytab WRFILE:admin.keytab.
Entry for principal admin/admin@EXAMPLE.COM with kvno 6, encryption type arcfour-hmac added to keytab WRFILE:admin.keytab.
Entry for principal admin/admin@EXAMPLE.COM with kvno 6, encryption type des-hmac-sha1 added to keytab WRFILE:admin.keytab.
Entry for principal admin/admin@EXAMPLE.COM with kvno 6, encryption type des-cbc-md5 added to keytab WRFILE:admin.keytab.

默认导出的目录为当前目录

3.10查看keytab文件中的用户列表

[root@master~]# klist -ket hbase.headless.keytab
Keytab name: FILE:hbase.headless.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   7 2018-07-30T10:19:16 hbase-flink@demo.com (des-cbc-md5) 
   7 2018-07-30T10:19:16 hbase-flink@demo.com (aes128-cts-hmac-sha1-96) 
   7 2018-07-30T10:19:16 hbase-flink@demo.com (aes256-cts-hmac-sha1-96) 
   7 2018-07-30T10:19:16 hbase-flink@demo.com (des3-cbc-sha1) 
   7 2018-07-30T10:19:16 hbase-flink@demo.com (arcfour-hmac)

3.11更新票据kinit

[root@master~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: hadoop@EXAMPLE.COM

Valid starting     Expires            Service principal
03/03/20 20:46:40  03/04/20 08:46:40  krbtgt/EXAMPLE.COM@EXAMPLE.COM
        renew until 03/10/20 20:21:26
[root@master~]# kinit -R
[root@master~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: hadoop@EXAMPLE.COM


Valid starting     Expires            Service principal
03/03/20 20:46:56  03/04/20 08:46:56  krbtgt/EXAMPLE.COM@EXAMPLE.COM
        renew until 03/10/20 20:21:26

可以看到这两个Ticket的Expires时间不一样

3.12查看Ticket详细信息

[root@master~]# kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local: getprinc hadoop@EXAMPLE.COM
Principal: hadoop@EXAMPLE.COM
Expiration date: [never]
Last password change: Tue Mar 03 14:50:08 CST 2020
Password expiration date: [never]
Maximum ticket life: 1 day 00:00:00
Maximum renewable life: 7 days 00:00:00
Last modified: Tue Mar 03 14:50:08 CST 2020 (root/admin@EXAMPLE.COM)
Last successful authentication: [never]
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 6
Key: vno 1, aes256-cts-hmac-sha1-96
Key: vno 1, aes128-cts-hmac-sha1-96
Key: vno 1, des3-cbc-sha1
Key: vno 1, arcfour-hmac
Key: vno 1, des-hmac-sha1
Key: vno 1, des-cbc-md5
MKey: vno 1
Attributes:
Policy: [none]
班班v
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hadoop的安全模式——hadoop2.2.0的Kerberos的配置
may_violin的专栏
11-17 2713
我的环境: Red Hat Enterprise Linux Server release 5.5 (查看系统版本的命令:lsb_release -a)  64位 Java 环境:jdk1.7.0_51 Hadoop环境:最先开始使用的是未编译的hadoop2.3.0,最后使用的是编译过的hadoop2.2.0。二者配置过程差不多,但是64位的系统一定要先编译源码!!! 1.had
Kerberos认证原理与使用教程
m0_46168848的博客
02-21 7524
Kerberos认证原理与使用教程
java访问配置kerberos后的hive
不二先生的笔记
07-14 1324
1.准备 1.1 生成主体hive/hive的keytab文件到指定目录/root/hive.keytab [root@fan102 ~]# kadmin.local -q "xst -k /root/hive.keytab hive/hive@HADOOP.COM" 1.2 查看keytab内容 [root@fan102 ~]#cd root [root@fan102root]# klist -e -k hive.keytab Keytab name: FILE:hiv...
kerberos认证:生成keytab文件并实现java代码用keytab登录hadoop集群
最新发布
qq_41358574的博客
06-26 445
用户首先向认证服务器(AS)请求一个票据授权票(Ticket-Granting Ticket, TGT),然后使用 TGT 向票据授权服务器(Ticket-Granting Server, TGS)请求服务票据。Kerberos 是一种网络认证协议,用于在不安全的网络中以安全的方式对用户和服务进行身份验证。AS 是 Kerberos 认证过程中的第一个服务,负责验证用户的身份,并发放初始的 TGT。TGS 负责发放访问特定服务的票据。用户使用服务票据向目标服务进行认证,服务票据授权用户访问特定的服务。
kerberos常用操作命令
qq_37928228的博客
04-28 778
kerberos常用操作命令
(复盘)基于CentOS 7安装kerberos并生成keytab文件
lmh1181243468的博客
04-05 1418
翻译:Kerberos一开始是为了20世纪80年代麻省理工学院的Athena项目而开发的,已经成长现在计算机网络方面部署的最为广泛的认证授权系统;Kerberos 目前随所有主要计算机操作系统一起提供,并且具有独特的优势,可以成为分布式身份验证和授权问题的通用解决方案,该问题允许在联合企业和点对点社区内部和之间实现通用的“单点登录”。麻省理工学院为Apple Macintosh、Windows和Unix操作系统开发并维护了Kerberos软件的实现。
kerberoskerberos创建用户和keytab文件
Mrerlou的博客
08-15 2697
将生成的keytab 文件放到 新建用户 user01 的家目录下。下面演示下如何创建一个kerberoskeytab 文件。user01 为用户名。111111 为密码。
【大数据安全-KerberosKerberos-Windows本地认证
weixin_53543905的博客
03-31 1995
1、Windows 本地的 krb5.ini 文件不能直接使用 krb5.conf 文件更名替换,否则会出现文件格式的问题导致 MIT Kerberos 客户端无法正常启动。2、在生成 keytab 文件时需要加上参数,否则会导致 kinit 时密码错误。3、在 Windows 本地安装了 Java 环境后,由于 Java 里也有 kinit、klist 等命令,所以需要在 Path 环境变量里面,将 Kerberos 的环境变量位置调整到Java环境变量的前面。
Kerberos安装教程及使用详解
09-15
9. **测试Kerberos**:在客户端使用`kinit`命令获取TGT,然后使用`klist`查看已获取的票据。 **Kerberos安全注意事项** - 加密类型:Kerberos支持多种加密算法,包括DES、AES等。推荐使用更安全的加密类型,如AES...
kerberos环境搭建
06-27
1. **Kerberos基本原理**: Kerberos基于票据授权票证(Ticket-Granting Ticket, TGT)的概念。用户首先向KDC请求TGT,然后使用TGT请求服务票证(Service Ticket),这个服务票证允许用户访问特定的服务。整个过程...
Linux telnet命令使用
01-20
`telnet`命令基本格式如下: ```bash telnet [-8EFKLacdfrx] [-X authtype] [-b hostalias] [-e escapechar] [-k realm] [-l user] [-n tracefile] [host [port]] ``` 其中的选项有: - `-8`: 允许8位字符传输,...
kerberos安装手册
11-12
完成Kerberos基本安装和配置后,还需要进一步配置Ambari以支持Kerberos认证机制。这通常涉及到对Ambari服务器及其管理的Hadoop集群的相关配置进行调整,确保集群中的各个组件都能够正确地使用Kerberos进行认证。 ...
HBase基本shell命令.docx
05-25
一、基本命令 1. 进入HBase shell 使用以下命令进入HBase shell: $HBASE_HOME/bin/hbase shell 如果使用Kerberos认证,需要事先使用kinit命令进行认证,然后再使用hbase shell进入。 hbase(main)> whoami 2. ...
CDH数仓项目(三) —— Kerberos安全认证和Sentry权限管理
不以物喜的博客
02-02 2594
CDH数仓项目基于Kerberos安全认证和Sentry权限管理详细说明
Kerberos协议
EDDJH_31的博客
08-01 732
前几天在复现MS14_068漏洞时,发现漏洞原理跟Kerberos协议有关,当时就大致看了一下。今天下午突然看到Kerberos协议的时候,发现自己对协议还是不太明白,所以在网上找了些资料认真看了一下,做个总结跟大家分享一下 Kerberos(/ˈkərbərəs/)是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。 协议的安全主要依赖
linux环境kafka安装及配置
W_StackOverFlow_W的博客
10-20 1万+
linux环境kafka安装及配置过程(含zookeeper)
Kerberos常用命令总结
CarbonDioxide12138的博客
03-18 1万+
进入kadmin kadmin.local/kadmin 创建数据库 kdb5_util create -r JENKIN.COM -s  启动kdc服务 service krb5kdc start 启动kadmin服务 service kadmin start  修改当前密码 kpasswd 测试keytab可用性 kinit -k -t /var/kerberos/krb5kdc...
Kerberos常用命令
memoordit的专栏
03-26 1万+
进入kerberos 控制台 kadmin.local 添加用户,生成实例 add_principal, addprinc, ank addprinc -randkey xxxx@xxxxT.COM 为各实例生成密钥 xst -k xxxx.keytab xxxx@xxxxT.COM 或 kadmin.local -q "xst -k xxxx.keytab xxxx@xxx...
HDFS配置Kerberos认证
热门推荐
wulantian的专栏
12-26 4万+
HDFS配置Kerberos认证 2014.11.04 本文主要记录 CDH Hadoop 集群上配置 HDFS 集成 Kerberos 的过程,包括 Kerberos 的安装和 Hadoop 相关配置修改说明。 注意: 下面第一、二部分内容,摘抄自《Hadoop的kerberos的实践部署》,主要是为了对 Hadoop 的认证机制和 Kerberos 认证协议做个简单
kerberos安装
08-27
要安装Kerberos,你可以按照以下步骤进行操作: 1. 安装依赖:首先,确保你的系统上已经安装了一些必要的软件包。对于大多数Linux发行版,你可以使用包管理器来安装这些软件包。例如,在Debian/Ubuntu上,可以运行以下命令来安装所需的依赖项: ``` sudo apt-get update sudo apt-get install build-essential libkrb5-dev ``` 对于其他发行版,请使用相应的包管理器。 2. 下载Kerberos:访问MIT Kerberos官方网站(https://web.mit.edu/kerberos/)并下载最新版本的Kerberos软件包。 3. 解压缩和编译:将下载的软件包解压缩到合适的目录中,并进入解压缩后的目录。然后执行以下命令进行编译和安装: ``` ./configure make sudo make install ``` 这将配置、编译并安装Kerberos。 4. 配置KerberosKerberos的配置文件通常位于`/etc/krb5.conf`。你可以使用文本编辑器打开文件,并根据你的需求进行配置。配置文件中包含了Kerberos服务器和域的相关设置,以及密钥库和票证缓存的位置等信息。 5. 启动和测试:启动Kerberos服务并进行测试。可以使用以下命令来启动Kerberos服务: ``` sudo systemctl start krb5kdc sudo systemctl start kadmin ``` 然后,你可以使用`kinit`命令获取Kerberos票证,并使用`klist`命令查看你的票证信息,以确保Kerberos正常工作。 这是一个基本Kerberos安装过程的概述,具体步骤可能会根据你的操作系统和Kerberos版本而有所不同。在实际安装过程中,请参考官方文档和适用于你的操作系统的特定指南以获得更详细的说明和帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值