Kerberos常用命令用法

最新推荐文章于 2024-06-26 16:15:22 发布
最新推荐文章于 2024-06-26 16:15:22 发布
阅读量1.4w 收藏 38
点赞数 4
分类专栏: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mlwise/article/details/108966354
版权

1. Kerberos简介

      Kerberos就是一种网络认证的协议,提供了一种登录认证的方法,常用在大数据集群中hadoop相关组件中的安全认证功能,和Kerberos类似的还有ldap。Kerberos主要包括认证服务器(AS),客户端和服务器。Principal是相当于用户名,是客户端和服务器的一个唯一名字,keytab文件是加密的认证文件,一般有Principal和keytab为后缀的认证文件就可以了。认证的时候很少直接使用密码。

2. kerberos管理员常用命令

2.1 登录Kerberos Server命令

     在Krb5 server所在机器并且当前用户是root的话,可以使用kadmin.local免密码进入。如果报错,多半是安装了多个Kerberos版本导致的。

     登录Kerberos Server服务,命令如下:

     root用户:

    [root@hadoop60 ~]# kadmin.local

    非root用户:

   [root@hadoop60 ~]# kadmin.local   用户名

   由于版本问题,我的需要制定具体的命令路径,服务器上有多个版本的kerberos

[root@hadoop60 ~]# /usr/sbin/kadmin.local
Authenticating as principal yarn/admin@XXX.COM with password.
kadmin.local:

      开始我的机器上的报错信息(其中admin@XXX.COM,XXX.com只是为了隐藏实际的公司名称而已,勿怪)如下所示:

[root@hadoop60 ~]# kadmin.local
Authenticating as principal yarn/admin@XXX.COM with password.
kadmin.local: Unable to load requested database module 'db2': plugin symbol 'kdb_function_table' not found while initializing kadmin.local interface
[root@hadoop60 ~]# which kadmin.local 
/usr/local/sbin/kadmin.local
[root@hadoop60 ~]# ll /usr/sbin/kadmin.local 
-rwxr-xr-x 1 root root 77552 Apr 13  2018 /usr/sbin/kadmin.local
[root@hadoop60 ~]#

从上面可以看出,有多个版本的kadmin.local命令,因此我使用了/usr/sbin/kadmin.local

2.2 列出所有Kerberos用户

列出Principal: list_principals, listprincs命令

2.3 添加Kerberos用户

命令:add_principal, addprinc

命令格式:addprinc [options] principal

主要options

  • -randkey

       随机生成一个值作为principal的key

  • -pw

       设置密码,此选项一般用在脚本中。

例子:

    addprinc -pw password test60@DOMAIN.COM

    addprinc -randkey test60@DOMAIN.COM

详细的Options

kadmin.local:  addprinc
usage: add_principal [options] principal
        options are:
                [-randkey|-nokey] [-x db_princ_args]* [-expire expdate] [-pwexpire pwexpdate] [-maxlife maxtixlife]
                [-kvno kvno] [-policy policy] [-clearpolicy]
                [-pw password] [-maxrenewlife maxrenewlife]
                [-e keysaltlist]
                [{+|-}attribute]
        attributes are:
                allow_postdated allow_forwardable allow_tgs_req allow_renewable
                allow_proxiable allow_dup_skey allow_tix requires_preauth
                requires_hwauth needchange allow_svr password_changing_service
                ok_as_delegate ok_to_auth_as_delegate no_auth_data_required
                lockdown_keys

where,
        [-x db_princ_args]* - any number of database specific arguments.
                        Look at each database documentation for supported arguments
kadmin.local:

2.4 修改Principal用户信息

相关命令:modify_principal, modprinc

命令格式:modprinc [options] principal

kadmin.local:  modprinc
usage: modify_principal [options] principal
        options are:
                [-x db_princ_args]* [-expire expdate] [-pwexpire pwexpdate] [-maxlife maxtixlife]
                [-kvno kvno] [-policy policy] [-clearpolicy]
                [-maxrenewlife maxrenewlife] [-unlock] [{+|-}attribute]
        attributes are:
                allow_postdated allow_forwardable allow_tgs_req allow_renewable
                allow_proxiable allow_dup_skey allow_tix requires_preauth
                requires_hwauth needchange allow_svr password_changing_service
                ok_as_delegate ok_to_auth_as_delegate no_auth_data_required
                lockdown_keys

where,
        [-x db_princ_args]* - any number of database specific arguments.
                        Look at each database documentation for supported arguments
kadmin.local:

2.5 修改Principal密码

相关命令:change_password, cpw

kadmin.local:  cpw
usage: change_password [-randkey] [-keepold] [-e keysaltlist] [-pw password] principal
kadmin.local:

例如:

2.6 删除Principal信息

相关命令:delete_principal, delprinc

kadmin.local:  delprinc
usage: delete_principal [-force] principal
kadmin.local:

例如:

2.7 生成keytab认证文件

kadmin.local:  xst
Usage: ktadd [-k[eytab] keytab] [-q] [-e keysaltlist] [-norandkey] [principal | -glob princ-exp] [...]
kadmin.local:

例如:

3. Kerberos普通用户常用命令

3.1 Principal和密码登录Kerberos获取票据credentials

通过用户名和密码登录,获取缓存票据

3.2 通过keytab认证文件获取Kerberos获取票据credentials

与3.1节的方法,差异不大,此步骤必须先生成keytab文件而已。

3.3 列出所有的Kerberos票据credentials信息

主要信息:有效开始时间,过期时间,principal,如果不知道keytab的principal名,可以通过如下命令

klist -k xxx.keytab查看

3.4 销毁kerberos票据credentials

相关命令:kdestroy

3.5 更新Kerberos票据credentials信息

相关命令:kinit -R

更新缓存票据,有多重方法,可以先销毁,然后重新获取。也可以直接更新

总结

        上面是一些kerberos认证常用的命令,无论你使用CDH还是HDP版本的hadoop环境,生产环境中少不了kerberos认证,大数据环境中开启了kerberos认证,则需要分配principal,生成keytab文件给别人,普通用户只有使用keytab加密文件才能提交Spark程序,Hive或者访问hdfs。

mlwise
关注
  • 4
    点赞
  • 38
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Kerberos常用命令总结
CarbonDioxide12138的博客
03-18 1万+
进入kadmin kadmin.local/kadmin 创建数据库 kdb5_util create -r JENKIN.COM -s  启动kdc服务 service krb5kdc start 启动kadmin服务 service kadmin start  修改当前密码 kpasswd 测试keytab可用性 kinit -k -t /var/kerberos/krb5kdc...
Kerberos安装及使用3(Kerberos基本管理实践)
Siobhan_Mxin的博客
03-16 7067
使用kinit命令为管理员主体获取ticket 使用kadmin命令登录管理服务器 使用addprinc命令添加普通用户 使用listprincs查看主体列表 使用getprinc查看主体详情 使用delprinc命令删除主体 使用klist命令查看证书缓存 使用kdestroy命令销毁缓存
kerberos认证:生成keytab文件并实现java代码用keytab登录hadoop集群
最新发布
qq_41358574的博客
06-26 398
用户首先向认证服务器(AS)请求一个票据授权票(Ticket-Granting Ticket, TGT),然后使用 TGT 向票据授权服务器(Ticket-Granting Server, TGS)请求服务票据。Kerberos 是一种网络认证协议,用于在不安全的网络中以安全的方式对用户和服务进行身份验证。AS 是 Kerberos 认证过程中的第一个服务,负责验证用户的身份,并发放初始的 TGT。TGS 负责发放访问特定服务的票据。用户使用服务票据向目标服务进行认证,服务票据授权用户访问特定的服务。
Kerberos常用命令
aimangqi8019的博客
08-22 200
进入kerberos 控制台 kadmin.local 或 kadmin 创建数据库 kdb5_util create -r HADOOP.COM -s 启动kdc服务 service krb5kdc start 启动kadmin服务 service kadmin start 修改当前密码 kpasswd 初始化prin...
kerberos常用操作命令
qq_37928228的博客
04-28 761
kerberos常用操作命令
Kerberos 操作命令使用
Jerry的博客
02-03 3224
一. 指南 1. 登录 kinit 2. 查询登录状态 klist 3. 退出 kdestroy 二. 使用指南 1. 登录管理KDC服务器,登录后台 kadmin.local 2.查看用户列表 listprincs 3.修改帐号密码(可修改忘记密码) [root@dounine ~]# kadmin.local Authenticating as principal root/admin@EXAMPLE.COM with password. kadmin.loca..
Kerberos安装教程与命令详解(超详细)
zcs2312852665的博客
12-27 3185
本教程介绍了如何安装和配置Kerberos身份验证系统。首先,我们搭建了一个集群,并介绍了所需的软件包。然后,我们提供了一个一键安装脚本,可以自动下载、安装和配置Kerberos服务器及客户端组件。接下来,我们详细解释了kdb5_util、kadmin、kinit和klist等常用命令用法。:这个软件包提供了运行 Kerberos 服务器所需的组件。它包含了 KDC(Key Distribution Center)和其他必要的工具,用于管理用户凭证、颁发票据以及处理身份验证请求等。通过安装。
kerberos问题修复
05-15
可以通过查看日志文件(如`/var/log/kerberos/krb5kdc.log`)来定位错误原因,常用命令如`kinit`、`klist`和`kdestroy`可用于测试和诊断。 5. **Kerberos认证过程中的问题**:例如,用户可能忘记密码,导致TGT获取...
Linux的常用网络命令(二)
09-16
本文主要聚焦于两个常用的网络命令:telnet和rlogin,它们都是用于远程访问和交互的命令。 首先,让我们详细了解一下telnet命令。telnet是一个协议,允许用户通过网络在远程主机上执行命令,类似于在本地主机上操作...
kerberos安装.docx
01-08
Kerberos 是一种常用的安全组件,广泛应用于大数据集群中。由于 Kerberos 的安装和使用较复杂,因此需要独立部署 KDC 服务,然后通过 CM 启动相关配置。 一、Kerberos 组件安装 1. 上传 krb5-server-1.10.3-10.el6...
入门学习Linux常用必会60个命令实例详解doc/txt
06-09
immortality按:请用ctrl+f在本页中查找某一部分的内容或某一命令的用法。 -------------------------------------------------------------------------------- Linux必学的60个命令(1)-安装与登陆命令 login 1...
为hdfs配置kerberos
10-27
Kerberos 是一种常用的身份验证协议,用于提供安全的身份验证机制。在 Hadoop 中,Kerberos 可以用于 HDFS 和 MapReduce 的安全认证。 从安全角度分析,Hadoop 缺乏一个安全的认证机制,以确保试图在集群上执行操作...
Kerberos常用操作
TT-Learning
10-29 5757
文章目录登录Kerberos: kadmin.local查看已存在凭据:list_principals, listprincs, get_principals, getprincs添加凭据:add_principal, addprinc, ank修改凭据密码:change_password, cpw删除凭据:delete_principal, delprinc认证用户:kinit查看当前认证用户:...
java kerberos 密码_【原创】kerberos无密码登录
weixin_36318506的博客
02-26 625
通常在远程客户端上登录kerbros都需要密码,在学习hadoop的时候提到了ktutil这个工具,这里将使用方法贴出来。用到的命令如下:1、ktutil2、add_entry-password -p hadoop/admin@psy.com -k 3 -e aes256-cts-hmac-sha1-96解释:-k 指编号 -e指加密方式 -password 指使用密码的方式例子:add_entr...
kerberos的操作命令(全)
qq_43688472的博客
07-21 1173
Kerberos 凭证(ticket) 有两个属性, ticket_lifetime 和 renew_lifetime。其中 ticket_lifetime 表明凭证生效的时限,一般为24小时。在凭证失效前部分凭证可以延期失效时间(即Renewable), renew_lifetime 表明凭证最长可以被延期的时限,一般为一个礼拜。当凭证过期之后,对安全认证的服务的后续访问则会失败。票据有效期使用的是默认值,此处是12小时。获取张三的票据,指定过期时间是1小时。修改admin/admin的密码。
Kerberos认证原理与环境部署
匠人精神,持之以恒!
06-04 3856
官网:https://www.kerberos.org/ 官方文档:http://web.mit.edu/kerberos/krb5-current/doc/Kerberos中有以下一些概念需要了解:用户principal的形式:其中Instance是可选 的,通常用于更好地限定用户的类型。比如,一个管理员用户通常会有admin instance,即。下面是指代用户的 一些principal的例子: 2)服务principal 用户principal的形式:下面是指代服务principal的例子: 三、Ke
Kerberos 入门与常用操作 浅析
张伯毅的专栏
02-27 2124
.一 .前言二 .Kerberos认证流程三 .Kerberos Principal四 .Kerberos的优点和不足4.1. 优点4.2. 不足五. KOC常用操作六.Client常用操作 一 .前言 Kerberos协议是 一种计算机网络授权协议, 用于在非安全的网络环境下对个人通信进行加密认证。 Kerberos 通过定义用户 和 服务端所使用的认证身份 (Principal) 来进行访问控制, 用户通过 Kerberos 客户端使用自己的 Principal 向认证服务器进行 身份的认证, 认证
使用 kinit 命令重新获取 Kerberos 凭据
06-09
Kerberos 是一种网络身份验证协议,它需要用户在进行某些操作之前获取凭证。如果您在 Hadoop 集群上遇到了身份验证问题,可以尝试使用 kinit 命令重新获取凭证。以下是使用 kinit 命令重新获取 Kerberos 凭证的步骤: 1. 打开终端并登录到 Hadoop 集群的一个节点上。 2. 运行以下命令来获取 Kerberos 凭证: ``` kinit <username> ``` 其中,`<username>` 是您在 Hadoop 集群上的用户名。 3. 输入您的密码以确认身份验证。 4. 您现在应该已经获取了 Kerberos 凭证。您可以使用 `klist` 命令来查看当前有效的凭证。 ``` klist ``` 如果您看到了有效的 Kerberos 凭证,则可以尝试重新执行您之前遇到身份验证问题的操作。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值