Kerberos 命令使用

最新推荐文章于 2023-06-05 23:45:00 发布
最新推荐文章于 2023-06-05 23:45:00 发布
阅读量1.1k 收藏
点赞数
分类专栏: Kerberos
原文链接:https://www.jianshu.com/p/69e6a2e7c648
版权

这里列出Kerberos中常用的命令,毕竟在刚学习Kerberos这个安全框架的时候还是遇到了挺多的问题,所以怎么能不记录记录咧,以后也好给我的孩子长长知识,咳咳....,不好意思又吹上天了。

指南

登录 kinit admin/admin@EXAMPLE.COM

[root@dounine ~]# kinit admin/admin@EXAMPLE.COM
Password for admin/admin@EXAMPLE.COM: 123456

查询登录状态 klist

[root@dounine ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: admin/admin@EXAMPLE.COM

Valid starting       Expires              Service principal
2018-07-12T00:54:55  2018-07-13T00:54:55  krbtgt/EXAMPLE.COM@EXAMPLE.COM

退出 kdestroy

[root@dounine ~]# kdestroy
[root@dounine ~]# klist
klist: No credentials cache found (filename: /tmp/krb5cc_0)

指使指南(维护)

登录管理KDC服务器
登录后台 kadmin.local

[root@dounine ~]# kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local:

查看用户列表 listprincs

[root@dounine ~]# kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local:  listprincs
K/M@EXAMPLE.COM
activity_analyzer/host1.demo.com@EXAMPLE.COM
activity_explorer/host1.demo.com@EXAMPLE.COM
admin/admin@EXAMPLE.COM
...

修改帐号密码(可修改忘记密码)

[root@dounine ~]# kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local:  change_password admin/admin@EXAMPLE.COM
Enter password for principal "admin/admin@EXAMPLE.COM": 123456
Re-enter password for principal "admin/admin@EXAMPLE.COM": 123456
Password for "admin/admin@EXAMPLE.COM" changed.

创建用户

[root@dounine ~]# kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local:  add_principal test1
WARNING: no policy specified for test1@EXAMPLE.COM; defaulting to no policy
Enter password for principal "test1@EXAMPLE.COM": 123456
Re-enter password for principal "test1@EXAMPLE.COM": 123456
Principal "test1@EXAMPLE.COM" created.

删除用户

[root@dounine ~]# kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local:  delete_principal test1
Are you sure you want to delete the principal "test1@EXAMPLE.COM"? (yes/no): yes
Principal "test1@EXAMPLE.COM" deleted.
Make sure that you have removed this principal from all ACLs before reusing.

只导出用户keytab文件(并且不要修改密码)

[root@dounine ~]# kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local:  xst -k admin.keytab -norandkey admin/admin@EXAMPLE.COM
Entry for principal admin/admin@EXAMPLE.COM with kvno 6, encryption type aes256-cts-hmac-sha1-96 added to keytab WRFILE:admin.keytab.
Entry for principal admin/admin@EXAMPLE.COM with kvno 6, encryption type aes128-cts-hmac-sha1-96 added to keytab WRFILE:admin.keytab.
Entry for principal admin/admin@EXAMPLE.COM with kvno 6, encryption type des3-cbc-sha1 added to keytab WRFILE:admin.keytab.
Entry for principal admin/admin@EXAMPLE.COM with kvno 6, encryption type arcfour-hmac added to keytab WRFILE:admin.keytab.
Entry for principal admin/admin@EXAMPLE.COM with kvno 6, encryption type camellia256-cts-cmac added to keytab WRFILE:admin.keytab.
Entry for principal admin/admin@EXAMPLE.COM with kvno 6, encryption type camellia128-cts-cmac added to keytab WRFILE:admin.keytab.
Entry for principal admin/admin@EXAMPLE.COM with kvno 6, encryption type des-hmac-sha1 added to keytab WRFILE:admin.keytab.
Entry for principal admin/admin@EXAMPLE.COM with kvno 6, encryption type des-cbc-md5 added to keytab WRFILE:admin.keytab.
kadmin.local:  exit

PS:有些教程说是ktadd,其实它们是一样的效果,在命令使用帮助中我们可以查询到哪些命令是一样的。

[root@dounine ~]# kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local:  ? #是查看帮助命令
Available kadmin.local requests:

add_principal, addprinc, ank
                         Add principal
delete_principal, delprinc
                         Delete principal
modify_principal, modprinc
                         Modify principal
rename_principal, renprinc
                         Rename principal
change_password, cpw     Change password
get_principal, getprinc  Get principal
list_principals, listprincs, get_principals, getprincs
                         List principals
add_policy, addpol       Add policy
modify_policy, modpol    Modify policy
delete_policy, delpol    Delete policy
get_policy, getpol       Get policy
list_policies, listpols, get_policies, getpols
                         List policies
get_privs, getprivs      Get privileges
ktadd, xst               Add entry(s) to a keytab
ktremove, ktrem          Remove entry(s) from a keytab
lock                     Lock database exclusively (use with extreme caution!)
unlock                   Release exclusive database lock
purgekeys                Purge previously retained old keys from a principal
get_strings, getstrs     Show string attributes on a principal
set_string, setstr       Set a string attribute on a principal
del_string, delstr       Delete a string attribute on a principal
list_requests, lr, ?     List available requests.
quit, exit, q            Exit program.

用逗号分隔的命令就是相等的,例如

add_principal, addprinc, ank
delete_principal, delprinc
ktadd, xst
...等等

使用Keytab验证是否可以登录(无错误输出即可)

kinit -kt /etc/security/keytabs/admin.keytab admin/admin@EXAMPLE.COM

查看keytab文件中的帐号列表

[root@dounine ~]# klist -ket hbase.headless.keytab

Keytab name: FILE:hbase.headless.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   7 2018-07-30T10:19:16 hbase-flink@demo.com (des-cbc-md5) 
   7 2018-07-30T10:19:16 hbase-flink@demo.com (aes128-cts-hmac-sha1-96) 
   7 2018-07-30T10:19:16 hbase-flink@demo.com (aes256-cts-hmac-sha1-96) 
   7 2018-07-30T10:19:16 hbase-flink@demo.com (des3-cbc-sha1) 
   7 2018-07-30T10:19:16 hbase-flink@demo.com (arcfour-hmac)

kerberos的日常操作: 

① kdc 登录:

kadim.local       仅限 kdc 主机直接登录,无须密码 ,登录进去就显示 kadmin.local:
kadmin -p  root/admin@HADOOP.COM    client 主机登录需要输入密码,登录进去就显示 kadmin:

② principal 维护  (可以登录kdc , 也可以不登录kdc 中维护)

kadmin.local  -q  "list_principals"        //  查看所有的 principal ( 服务名/_HOST@REALM.TLD )
 kadmin.local -q "addprinc  bd00/bd00@HADOOP.COM"     // 添加principal , 需要手工指定密码
 kadmin.local -q "addprinc  -randkey  bd00/bd00@HADOOP.COM"   // 随机生成密码
// 如果是系统组件需要的principal  , 可以加参数  -randkey  生成随机密码
kadmin.local  -q "delprinc  bd00/bd00@HADOOP.COM"          // 删除principal

③ principal  添加完后,就可以导出keytab  生成及查看

kadmin.local:  ktadd -k /var/kerberos/krb5kdc/kadm5.keytab  kadmin/admin  kadmin/changepw
kadmin.local: xst -k /etc/security/keytabs/hdfs.headless.keytab tocdc-tcluster@HADOOP.COM
// ktadd , xst  两种方式都行
kadmin.local -q "xst -k /etc/security/keytabs/hdfs.headless.keytab tocdc-tcluster@HADOOP.COM"
kadmin.local -q "ktadd -k /var/kerberos/krb5kdc/kadm5.keytab  kadmin/admin@HADOOP.COM"
// 注意,如上在导出keytab 的时候会改密码(之前添加principal 的密码),kinit 验证密码会不对
// 如果导出keytab 不想改密码 ,添加参数  -norandkey, 如下: (kadmin.local 方式下)
kadmin.local: ktadd -k /home/tocdc/boco.keytab -norandkey  boco/boco@HADOOP.COM   
klist  -kt  /etc/security/keytabs/spark2.headless.keytab         //查看keytab 的内容

④ 查看当前用户认证信息 :  klist  -e

⑤ 删除当前用户认证信息:  kdestroy

⑥  用户认证:

kinit  principal        // 需要密码
kinit -kt  /etc/security/keytabs/xxxx.keytab     principal      //不需要密码,keytab 已经包含

 

Kerberos基本命令使用
司马班如
12-06 2630
最近在CDH集群配置Kerberos认证,遇到了不少问题,打算用这篇文章来总结一下 Kerberos基本命令使用一、Kerberos安装配置文档二、Kerberos专有名词介绍2.1 Kerberos主体Principal介绍三、Kerberos 命令使用3.1 登陆kinit3.2查询登陆状态klist3.3退出登陆kdestroy3.4登录KDC后台 kadmin.local3.5查看用户列表 listprincs3.6修改账号密码change_password3.7创建用户addprinc3.8删除用
Kerberos】学习Kerberos
HHoao的博客
09-01 1433
用户要去游乐场,首先要在门口检查用户的身份(即 CHECK 用户的 ID 和 PASS), 如果用户通过验证,游乐场的门卫 (AS) 即提供给用户一张门卡 (TGT)。这张卡片的用处就是告诉游乐场的各个场所,用户是通过正门进来,而不是后门偷爬进来的,并且也是获取进入场所一把钥匙。现在用户有张卡,但是这对用户来不重要,因为用户来游乐场不是为了拿这张卡的而是为了游览游乐项目,这时用户摩天楼,并想游玩。
Kerberos常见错误及解决方案
shkstart的博客
08-31 1万+
1、 Kerberos启动后台日志提示异常:No such file or directory – while initializing database for realm HADOOP.COM 在/var/log/krb5kdc.log中发现No such file or directory – while initializing database for realm HADOOP.COM。 解决方案: ①: 检查kdc.conf和krb5.conf文件是否配置正确,修改配置,注意:配置文件的[kdc
Kerberos常用操作
TT-Learning
10-29 6450
文章目录登录Kerberos: kadmin.local查看已存在凭据:list_principals, listprincs, get_principals, getprincs添加凭据:add_principal, addprinc, ank修改凭据密码:change_password, cpw删除凭据:delete_principal, delprinc认证用户:kinit查看当前认证用户:...
Kerberos安全认证-连载2-Kerberos安装及使用
qq_32020645的博客
06-05 2314
Kerberos名词术语、Kerberos安装、Kerberos命令使用
Kerberos 运维中遇到的问题
h952520296的博客
09-29 7275
记录一下有关 Kerberos 错误消息的信息,包括每个错误出现的原因以及解决此错误的方法。
2021-09-30 cannot locate default realm
weixin_41065318的博客
09-30 7840
踩坑记录一下,annot locate default realm 读取k5rb.conf出错,排查了半天最后是路径没有权限。天坑
kerberos-docker:用于kerberos服务器的轻量级docker映像
05-09
kerberos-docker 基于Alpine Linux的轻量级... 要运行kerberos-docker ,请使用以下命令 docker run -d -p 749:749 -p 88:88 staticmukesh/kerberos-docker 贡献 如果您有任何建议,请随时在上提出问题或提出请求
Kerberos常用命令
memoordit的专栏
03-26 1万+
进入kerberos 控制台 kadmin.local 添加用户,生成实例 add_principal, addprinc, ank addprinc -randkey xxxx@xxxxT.COM 为各实例生成密钥 xst -k xxxx.keytab xxxx@xxxxT.COM 或 kadmin.local -q "xst -k xxxx.keytab xxxx@xxx...
Kerberos安全认证部署和使用(HDP)
清平乐的技术专栏
09-22 2688
对于客户端而言,集群开启Kerberos之后,可以对可信任的客户端提供认证,使得可信任客户端能够正确提交作业,恶意用户无法伪装成其他用户侵入到集群当中,能够有效防止恶意冒充客户端提交作业的情况。对于服务端而言,集群开启Kerberos之后,集群中的服务都是可以信任的,集群服务之间使用密钥进行通信,避免了冒充服务的情况。 开启Kerberos能够提升集群的安全性,但是也会提升用户使用集群的复杂度,提交作业的方式与没有开启Kerberos前会有一些区别,需要对作业进行改造,增加Kerberos认证的相关内容。
解决Mac系统下,kerberos客户端无法连接的问题
01-06 5030
小伙伴的开发机器是mac系统,需要连接Hadoop集群做开发。但是kinit命令一直报 “kinit: krb5_get_init_creds: unable to reach any KDC in realm XXXXXXX.HADOOP, tried 1 KDC” 错误。 我们排查了Kerberos客户端版本、krb5.conf配置文件以及 keytab,都是正确的。 经过重重定位,我们发现是传输协议的问题。 以下划重点: linux上kerberos的传输协议默认是TCP,而mac上默认是UD
command not found 解决方法
热门推荐
xukunddp的专栏~ 心态好才是真的好
08-19 2万+
      通常,command not found是系统不能找到执行命令的路径引起的,是怎么回事儿呢?拿命令ifconfig来说,如果没有 把:/sbin追加到环境变量,直接输入ifconfig命令是不能执行的,输入/sbin/ifconfig才能执行。通过whereis ifconfig可得知 ifconfig所在路径是/sbin/ifconfig,即在sbin目录下。如果环境变量中没有设置/sbin,则会显示command not found,如果不设 置环境变量并企图先进入/sbin目录再执行
常见的 Kerberos 错误消息
zy531的专栏
01-31 1万+
http://docs.oracle.com/cd/E19253-01/819-7061/trouble-6/index.html 列出了 Kerberos 命令Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息 All authentication systems disabled; connection refused
国产银河麒麟V10 Sp02安装kerberoskadmin.local:No KCM server found while opening default credentials cache
qq_38702393的博客
11-03 3281
国产银河麒麟V10 Sp02安装kerberoskadmin.local:No KCM server found while opening default credentials cache
Kerberos】ambari启用kerberos 报错处理
人生所向,皆是美好
03-02 6210
文章目录一、 ambari中启用kerberos报错Invalid KDC administrator credentials. Please enter admin principal and password.二、Can not fetch master key (error: No such file or directory). while initializing kadmin.loca...
HBase 实战中遇到的坑
刘莹慧的专栏
01-20 1万+
问题一 : HTable.backgroundFlushCommits; HTable.flushCommits; HTable.close; 解决方案 ,对同一个表进行的操作 htable = new HTable(config, "CRM_MEMBER_ALL");中的config 要每次都new一个新的出来,不能用同一个,不然会报错! 问题二 :
Linux7 下Hadoop集群用户管理方案之五 安装Hadoop集群遇到的坑
记录,学习。
05-07 7883
自己在安装时候遇到的一部分的坑。 密码都不能用了。。 难道是因为。。改了kdc.conf?? 从ip改成端口了 PS。这个还没有解决。。Kerberos创建用户,创建的用户密码过期之后不可用的问题。Kerberos还没有完全吃透,还没解决。 /opt/cm-5.9.0/share/cmf/bin/gen_credentials.sh fail
金仓数据库KingbaseES安全指南--6.3. Kerberos身份验证
arthemis_14的博客
08-01 957
金仓数据库KingbaseES安全指南--6.3. Kerberos身份验证
kerberos常用命令汇总
最新发布
04-02
### Kerberos 常用命令总结 以下是常见的 Kerberos 命令及其用途: #### 配置与管理 1. **kinit**: 用于获取 TGT (Ticket Granting Ticket),并存储到缓存中。 ```bash kinit username ``` 此命令会提示输入密码,并尝试通过 KDC 获取票据[^1]。 2. **klist**: 显示当前用户的票证缓存信息。 ```bash klist ``` 可查看已获得的 TGT 和其他服务票据的信息[^2]。 3. **kdestroy**: 删除当前用户的票证缓存。 ```bash kdestroy ``` 清除所有存储在缓存中的票据,通常在退出登录时使用[^3]。 4. **kpasswd**: 修改用户的 Kerberos 密码。 ```bash kpasswd ``` 5. **ktutil**: 管理密钥表 (keytab 文件) 的工具。 ```bash ktutil addent -password -p principal_name -k key_number -e encryption_type wkt filename.keytab quit ``` 这些命令可用于向 keytab 中添加条目[^4]。 --- #### 数据库维护 6. **kdb5_util**: 用于管理和操作 Kerberos 数据库。 ```bash /usr/sbin/kdb5_util create -s ``` 创建一个新的 Kerberos 数据库实例。`-s` 参数表示启用 stash 文件功能,以便无需每次启动都提供 master password。 7. 备份数据库: ```bash /usr/sbin/kdb5_util dump /path/to/backup.dump ``` 8. 恢复数据库: ```bash /usr/sbin/kdb5_util load /path/to/backup.dump ``` 9. 列出数据库中的主体 (principals): ```bash kadmin.local -q "get_principals" ``` --- #### 安全审计 10. **kadmind**: 提供远程管理 Kerberos 数据库的功能。 ```bash kadmind ``` 启动后可以通过 `add_principal`, `delete_principal` 等指令来增删改查主体。 11. 查看日志文件以排查问题: 日志路径通常是 `/var/log/krb5kdc.log` 或者由配置文件定义的位置。 --- #### Windows 平台支持 12. 自动续期脚本: 使用 PowerShell 脚本来定期检查和更新 Kerberos 票据。 ```powershell powershell -File "C:\ProgramData\MIT\Kerberos5\checkKerberos.ps1" ``` 将此命令设置为计划任务运行,可确保长期连接的有效性。 --- ### 注意事项 上述命令适用于不同场景下的 Kerberos 部署环境,请根据实际需求调整参数或权限设置。对于生产环境中涉及敏感数据的操作,建议提前测试验证其安全性与稳定性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值