【kerberos】使用 curl 访问受 Kerberos HTTP SPNEGO 保护的 URL

已于 2023-12-18 16:07:24 修改
阅读量858 收藏
点赞数
分类专栏: ldap+kerberos 文章标签: http 网络协议 网络
于 2023-11-16 11:18:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrerlou/article/details/134437427
版权

前言:

大数据集群集成 Kerberos 后,很多 WEBUI 打开都会提示输入用户名和密码。由于我想获取 flink 任务的详情,且 KNOX 并不支持Flink api,所以只能是直接请求由 kerberos 保护的 flink rest api 地址了。

查看 KNOX 支持API的列表:https://docs.cloudera.com/cdp-private-cloud-base/7.1.7/knox-authentication/topics/security-knox-supported-services-matrix.html

这里介绍如何使用 curl 命令行的方式来访问受 Kerberos HTTP SPNEGO 保护的 URL。

在这里插入图片描述

前提:

  1. curl 版本需支持 GSS-Negotiate
  2. keytab 文件或者 kerberos 用户/密码
  3. curl -u 参数不可省略,但是username/password 可以省略

具体步骤:

  1. 要访问受 Kerberos HTTP SPNEGO 保护的 URL,请确保您的 版本支持 GSS 并且能够运行 。
curl -V
curl 7.19.7 (universal-apple-darwin10.0) libcurl/7.19.7 OpenSSL/0.9.8l
zlib/1.2.3
Protocols: tftp ftp telnet dict ldap http file https ftps
Features: GSS-Negotiate IPv6 Largefile NTLM SSL libz
  1. 使用 kinit 登录到 KDC
kinit -kt /opt/keytab/test.keytab test

或者
kinit
Please enter the password for username@LOCALHOST:
  1. 使用 curl 命令获取受保护的 URL。

我这里是调用的 flink on yarn 程序累加器的rest 请求。

curl --negotiate -u :  http://1.1.1.1:8088/proxy/application 1694747643798_0956/jobs/c88ce26450f1f9dc6423eeodec31ada7/accumulators
  • --negotiate 在curl 中开启 SPNEGO
  • -u 该选项是必需的,但用户名和密码可以省略。
  • -u 后面的分号不能省略。

参考:

  • https://docs.cloudera.com/runtime/7.2.0/scaling-namespaces/topics/hdfs-curl-url-http-spnego.html
  • https://hadoop.apache.org/docs/current/hadoop-hdfs-httpfs/UsingHttpTools.html
kiraraLou
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kerberos安装教程及使用详解
09-15
Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务。这篇文章主要介绍了Kerberos安装教程及使用...
Kerberoshttp接口访问
weixin_43172032的博客
12-21 1933
Kerberoshttp接口访问一,Linux ,Mac os 环境下curl 命令访问1.1, 拷贝 服务器上的 /etc/krb5.conf 文件还至目标电脑上。1.2, 执行kinit 获取票据,curl访问接口二,mac 环境下使用浏览器访问Kerberos 化 UI2.1 拷贝/etc/krb5.conf 文件,执行kinit2.2 safari浏览器2.3 Chrome浏览器打开界面三,windows环境下使用浏览器访问Kerberos 化 UI3.1 下载安装 KerberosTicket
Curl使用详解(五)
不问归期的博客
04-21 1804
25 DICT For fun try先尝试几个有趣的命令: curl dict://dict.org/m:curl curl dict://dict.org/d:heisenbug:jargon curl dict://dict.org/d:daniel:web1913 Aliases for ‘m’ are ‘match’ and ‘find’, and aliases for ‘d’ ...
利用CURL命令调用WebHDFS REST API与Kerberos机制
tanzhangwen的专栏
09-26 8843
1. CURL安装 cURL是一个利用URL语法在命令行下工作的文件传输工具,1997年首次发行。它支持文件上传和下载,所以是综合传输工具,但按传统,习惯称cURL为下载工具。cURL还包含了用于程序开发的libcurlCURL官方网站:http://curl.haxx.se/ 1.1 Linux安装 这个网上资料比较多,只要搜索“curl 安装 linux”就应该有不少介绍。 1.
elasticsearch添加kerberos认证完整操作流程
m0_68158196的博客
09-22 814
es添加kerberos认证的完整操作流程,包含kerberos服务的搭建、es如何添加kerberos认证以及java如何操作添加了kerberos认证的es
[Kerberos基础]-- httpclient访问httpfs服务(有Kerberos认证)
欢迎来到我的博客,一起探索代码里的世界!
07-09 5622
场景:cdh集群已经添加kerberos认证,但是需要访问httpfs服务,怎么办? 如下实现: 1、引入maven <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/...
kerberos:启用KDC和SPNEGO的Nginx
02-20
已启用KDC和SPNEGO的Nginx 先决条件 已在以下环境中进行了测试 kdc:Ubuntu 20.04 Intel + Docker稳定版,kerberos客户端:Ubuntu 20.04 Intel kdc:Ubuntu 20.04 Intel + Docker稳定版,kerberos客户端:Macos ...
KerberosRun:一个使用Kerberos的小工具
04-15
Kerberos运行KerberosRun是我用来与一起研究Kerberos内部的一个小工具。 我将尝试从学习和实现东西,这也是Rubeus所不具备的。 KerberosRun使用由构建的库。 它在的Rubeus项目中得到了很大的改进(一些代码直接从该...
kerberos-docker:用于kerberos服务器的轻量级docker映像
05-09
kerberos-docker 基于Alpine Linux的轻量级... 要运行kerberos-docker ,请使用以下命令 docker run -d -p 749:749 -p 88:88 staticmukesh/kerberos-docker 贡献 如果您有任何建议,请随时在上提出问题或提出请求
Curl和libcurl使用
Richard的专栏
04-07 1231
<br /><br />一、curl简介<br /> <br />curl是一个利用URL语法在命令行方式下工作的文件传输工具。它支持的协议有:FTP, FTPS, HTTP, HTTPS, GOPHER, TELNET, DICT, FILE 以及 LDAP。curl同样支持HTTPS认证,HTTP POST方法, HTTP PUT方法, FTP上传, kerberos认证, HTTP上传, 代理服务器, cookies, 用户名/密码认证, 下载文件断点续传, 上载文件断点续传, http代理服务器管道
KerberosHTTP中的应用
03-31
Kerberos是在Internet上长期被采用的一种安全鉴别机制。本文在分析各种传统HTTP鉴别协议的缺陷的基础上,探讨了KerberosHTTP通信中鉴别的优势,并提出了一种具体实现的设计模型
Kerberos协议之TGS_REQ & TGS_REP
qq_53058639的博客
08-11 206
1.客户端将用户ID的明文消息发送给AS(请求认证)2.AS检查客户端是否在其数据库中,在就会拿出相应用户id对应的hash来当作加密密钥。3.客户端接收内容1和内容2,使用用户输入的密码生成hash,当作解密密钥来解密内容1的内容,拿到会话密钥(sessionkey),然后生成下面两种内容信息发送给TGS4.TGS收到内容1和内容2,KdrTGT5.客户端收到内容1和内容2后,使用会话密钥(session。
大数据之Kerberos认证
m0_70949976的博客
05-15 4861
Kerberos 是一个网络身份验证协议,用于在计算机网络中进行身份验证和授权。它提供了一种安全的方式,允许用户在不安全的网络上进行身份验证,并获取访问网络资源的权限。
Kerberos认证协议介绍
最新发布
lonelymanontheway的博客
10-19 828
概述、特性、原理、概念、步骤、Authentication Service Exchange、Ticket Granting Service Exchange、Client/Server Exchange、 总结、实战、安装
访问开启KerberosHTTP接口
minghai
07-29 831
HTTP访问开启Kerberos的 接口工具类 import java.io.IOException; import java.security.Principal; import java.security.PrivilegedAction; import java.util.HashMap; import java.util.HashSet; import java.util.Set; import javax.security.auth.Subject; import javax.securi
内网渗透测试:Kerberos 协议& Kerberos 认证原理
dzqxwzoe的博客
08-20 167
Kerberos 认证并不是天衣无缝的,这其中也会有各种漏洞能够被我们利用,比如我们常说的MS14-068、黄金票据、白银票据等就是基于Kerberos协议进行攻击的。下面我们便来大致介绍一下Kerberos 认证中的相关安全问题。
Kerberos身份验证访问Web HttpFS
weixin_30650859的博客
08-20 865
原文出处:https://www.ibm.com/support/knowledgecenter/en/SSPT3X_3.0.0/com.ibm.swg.im.infosphere.biginsights.admin.doc/doc/kerberos_httpfs.html 使用带有以下密码和keytab的example_user@ BIGDATA-HEBOAN.COM运行kin...
curl 命令使用方法整理
技术是条不归路
04-22 7471
curl是利用URL语法在命令行方式下工作的文件传输工具。它支持很多协议:FTP, FTPS, HTTP, HTTPS, GOPHER, TELNET, DICT, FILE 以及 LDAP。curl同样支持HTTPS认证,HTTP POST方法, HTTP PUT方法, FTP上传, kerberos认证,HTTP上传,代理服务器, cookies, 用户名/密码认证, 下载文件断点续传,上载文
CURL详解
热门推荐
zqt520的专栏
01-01 1万+
curl_setop()函数中的参数中文说明 curl_setop()函数中的参数中文说明 curl_setopt()函数将为一个CURL会话设置选项。option参数是你想要的设置,value是这个选项给定的值。下列选项的值将被作为长整形使用(在option参数中指定):  *CURLOPT_INFILESIZE:当你上传一个文件到远程站点,这个选项告诉PHP你上传文件的大小。
创建kerberos用户访问hadoop
05-24
要创建一个Kerberos用户来访问Hadoop,您需要采取以下步骤: 1. 创建一个Kerberos用户账户。您可以使用命令行工具kadmin来创建,例如: ``` sudo kadmin.local -q "addprinc -randkey <username>" ``` 其中,`<username>`是您要创建的Kerberos用户名。 2. 为该用户生成keytab文件。keytab文件包含了用户的Kerberos凭据,用于在不需要交互式输入密码的情况下进行身份验证。您可以使用命令行工具kadmin来生成keytab文件,例如: ``` sudo kadmin.local -q "ktadd -k /path/to/keytab <username>" ``` 其中,`/path/to/keytab`是您要生成的keytab文件的路径。 3. 将keytab文件分发到Hadoop集群的所有节点上。您可以使用scp命令将文件复制到每个节点上,例如: ``` scp /path/to/keytab <node>:/path/to/keytab ``` 其中,`<node>`是Hadoop集群中的节点。 4. 配置Hadoop以使用Kerberos身份验证。您需要编辑Hadoop配置文件core-site.xml和hdfs-site.xml,添加以下属性: ``` <property> <name>hadoop.security.authentication</name> <value>kerberos</value> </property> <property> <name>hadoop.security.authorization</name> <value>true</value> </property> <property> <name>hadoop.security.auth_to_local</name> <value> RULE:[1:$1@$0](.*@EXAMPLE.COM)s/@.*// RULE:[2:$1@$0](.*@EXAMPLE.COM)s/.*/hdfs/ </value> </property> <property> <name>dfs.namenode.keytab.file</name> <value>/path/to/keytab</value> </property> <property> <name>dfs.namenode.kerberos.principal</name> <value>hdfs/[email protected]</value> </property> ``` 其中,`/path/to/keytab`是keytab文件的路径,`hdfs/[email protected]`是Hadoop集群的Kerberos服务主体。 5. 重启Hadoop服务以使配置更改生效。 现在,您可以使用Kerberos用户名和keytab文件访问Hadoop集群。例如,您可以使用以下命令在HDFS上创建目录: ``` sudo -u hdfs kinit -kt /path/to/keytab <username> sudo -u hdfs hdfs dfs -mkdir /user/<username> ``` 其中,`<username>`是您的Kerberos用户名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值