kerberos使用

已于 2024-06-07 11:57:21 修改
阅读量2.6k 收藏 6
点赞数
分类专栏: kerberos linux CDH 文章标签: 安全架构
于 2020-08-22 08:28:00 首次发布
原文链接:https://www.jianshu.com/p/69e6a2e7c648
版权
linux 同时被 3 个专栏收录
43 篇文章 0 订阅
订阅专栏
CDH
42 篇文章 3 订阅
订阅专栏
kerberos
5 篇文章 0 订阅
订阅专栏

理论上,通过kerberos认证后又没开启sentry,可以随意访问服务,但有的服务还有额外的acl权限限制,比如hdfs和hbase,需要额外进行授权,sentry只能管hive,hdfs和hbase用的是acl,当然,sentry可以通过acl来管理hdfs。

缩写

add_principal,addprinc,ank
delete_principal,delprinc
ktadd,xst
change_password,cpw

登录kadmin

kadmin.local
非kadmin节点使用admin权限的prin认证后,输入kadmin后输入密码

生成随机key的principal,这种principal只能用来生成keytab使用

addprinc -randkey root/master1@EXAMPLE.COM

ktadd -k keytab位置 prin名

这种方式生成keytab时,缺省会生成长串随机密码来覆盖原来的密码。覆盖后,就不能用原来密码登录了,只能用keytab,如果想要继续使用密码登录,需要使用-norandkey参数来避免生成长串随机密码。
-norandkey表示不用很长的随机密码,使用自己设置的密码,意味着可以同时用密码和keytab认证
ktadd -norandkey -k /keytab/root.keytab root/master1@EXAMPLE.COM host/master1@EXAMPLE.COM

生成指定密码的principal,执行后会提示输入密码

addprinc admin/admin

为principal生成keytab,可同时添加多个

ktadd -norandkey -k /keytab/root.keytab root/master1@EXAMPLE.COM host/master1@EXAMPLE.COM

klist -ket xxx.keytab  查看参数keytab里面包含的的认证信息

在一个节点上,有可能多个脚本并行执行,kinit的认证有可能被覆盖,所以在kinit之前,需要把产生的pubkey暂存起来

场景:有个脚本,连续2天,每天调度跑的时候就报错,然后手动调一次就能跑过
被覆盖之后脚本报错
在这里插入图片描述

export KRB5CCNAME=/tmp/krb5_udp_dev
kinit -kt xxx xxx

klist -e = klist

查看当前用户认证信息

# klist -ket xxx.keytab

Keytab name: FILE:xxx.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   7 2018-07-30T10:19:16 hbase-flink@demo.com (des-cbc-md5) 
   7 2018-07-30T10:19:16 hbase-flink@demo.com (aes128-cts-hmac-sha1-96) 
   7 2018-07-30T10:19:16 hbase-flink@demo.com (aes256-cts-hmac-sha1-96) 
   7 2018-07-30T10:19:16 hbase-flink@demo.com (des3-cbc-sha1) 
   7 2018-07-30T10:19:16 hbase-flink@demo.com (arcfour-hmac)

查看principal

listprincs

修改admin/admin的密码

change_password -pw xxxx admin/admin  
cpw

删除principal

delete_principal admin/admin

lab

1. 使用密码创建一个principal后,如果用ktadd生成随机密码的keytab(默认),会用一个很长的随机密码覆盖原来手动设置的密码,那么原来的密码就不能用了。如果使用 -norandkey,可以密码和keytab同时使用

addprinc test1
ktadd -norandkey -k /opt/keytabs/test1.keytab test1

此时用密码和keytabs都可以认证

2. 2个生命周期

Kerberos ticket 有两种生命周期,ticket timelife (票据生命周期) 和 renewable lifetime (可再生周期)。

当 ticket lifetime 结束时,该 ticket 将不再可用。
如果 renewable lifetime > ticket lifetime ,那么在票据生命周期内可以续期,直到达到可再生周期。
当时间达到 renewable lifetime 后,ticket lifetime结束后将不能继续续期,续期时将会报错 KDC can’t fulfill requested option while renewing credentials,之后需要重新kinit申请新的ticket

与使用较长的生命周期的票据相比,可再生票据的优点是KDC可以拒绝续期请求(例如,如果发现帐户被破坏,并且可再生票据可能在攻击者手中)。???

例如:
ticket_lifetime = 1d
renew_lifetime = 7d
在登陆后的24h内可以对ticket进行续期,直到第一次登陆的7天后将不再允许续期。
在24h内如果没有续期,将无法续期。
对 ticket 进行一次续期后,ticket_lifetime 将恢复到24h。==》
第一次kinit后,从kinit时间到tl期间内可以renew,renew后,start time刷新。直接第一次的st到rl后,不能再刷新

实际场景中,开发告诉运维3天开发完,但3天大概率开发不完,这时候就可以续期,而不用重新输密码或用keytab。

kerberos可以用kinit得到一个ticket(又叫tgt), 在这个ticket生效期间不用输入密码, ticket可以不停续期, 有一个expire日期,下面的例子是12月07到12月08的一天时间, 但是生效期内可以通过 kinit -R 来续期这个ticket, 但是还有个renew until, 表示最长可以续期多久, 下面例子表示15年12/12号以后, kinit -R 就不能续期了.

kinit -R会把当前认证的prin的Valid starting时间刷新为当前,Expires时间自然也就顺延。但renew until时间仍然是第一次认证时确定的时间。

这个ticket和keytab无关, keytab是一个密码文件, 加密了你的密码而已.

Execute a klist command to verify the values that the system actually granted you.

Ticket cache: FILE:/tmp/krb5cc_1234
Default principal:someuser@UCAR.EDU
Valid starting Expires Service principal
12/07/15 13:00:05 12/08/15 13:00:01 krbtgt/UCAR.EDU@UCAR.EDU
renew until 12/12/15 15:48:44

The ticket will expire like an ordinary ticket in 24 hours, but you
can renew multiple times before its expiration, until the final
expiration date (Dec 12 in the example above). You must do the kinit
command interactively because you will have to provide your Kerberos
passphrase; this cannot be put into a cron job or other unattended
situation.

zdkdchao
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
kerberos常用命令汇总
zhengzaifeidelushang的博客
05-14 2350
kerberos常用命令汇总 一、查看keytab文件对应的principal name 命令: klist -ket keytab文件名 klist -ket zeppelin1.bigdata.net.keytab Keytab name: FILE:zeppelin1.bigdata.net.keytab KVNO Timestamp Principal ---- ------------------- -------------------------------------
Kerberos.zip
03-11
c语言实现
kerberos windows
09-05
kerberos windows
安全认证Kerberos详解
最新发布
Shawn的个人博客
04-16 835
Kerberos是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。
kerberos入坑指南
12-01
kerberos主要是用来做网络通信时候的身份认证,最主要的特点就是“复杂”。所以在入坑kerberos之前,最好先熟悉一下其原理。
Kerberos基础
liufang_imei的博客
09-04 406
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。Hadoop使用Kerberos作为用户和服务的强身份验证和身份传播的基础。
怎样配置HDFS相关的Kerberos账户?
zy1992As的博客
06-14 226
Hadoop需要Kerberos来进行认证,以启动服务来说,在后面配置 hadoop 的时候我们会给 对应服务指定一个Kerberos的账户,比如 namenode 运行在cdh0机器上,我们可能将 namenode 指定给了 nn/cdh0.itcast.cn@ITCAST.CN 这个账户, 那么 想要启动 namenode 就必须认证 这个账户才可以。1. 在每个节点执行 mkdir /etc/security/keytabs。2. 配置cdh0上面运行的服务对应的Kerberos账户。
hadoop下常用命令整理
googgirl的专栏
01-15 1020
一、keytab使用 1、查看pricipal: klist -kte **.keytab 2、认证keytab: kinit -kt **.keytab -p **@**.COM 3、查看是否认证成功 klist 4、查询ldap生成的用户: ldapsearch -x -b "dc=citic,dc=com" "(uid=username)" 二、hadoop常用命令: 1、kill掉8...
Kerberos 操作命令使用
Jerry的博客
02-03 3100
一. 指南 1. 登录 kinit 2. 查询登录状态 klist 3. 退出 kdestroy 二. 使用指南 1. 登录管理KDC服务器,登录后台 kadmin.local 2.查看用户列表 listprincs 3.修改帐号密码(可修改忘记密码) [root@dounine ~]# kadmin.local Authenticating as principal root/admin@EXAMPLE.COM with password. kadmin.loca..
大数据技术-Kerberos学习笔记
xiaoyixiao_的博客
03-02 3849
大数据技术-Kerberos学习笔记
kerberos认证服务搭建、认证、常用命令
天空之蓝的博客
01-16 5612
文章目录安装KDC 服务器修改配置修改KDC的配置文件配置KDC服务的权限管理文件修改Kerberos的配置文件信息初始化KDC数据库启动KDC服务器启动Kerberos服务器KDC 服务器上添加超级管理员账户搭建Kerberos客户端环境将服务端的配置文件拷贝到客户端客户端配置文件和服务段同步后,进行登陆,验证是否可以成功登陆Kerberos 一些基本操作命令使用kadmin.local命令进入...
Kerberos安装教程及使用详解
09-15
Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据...这篇文章主要介绍了Kerberos安装教程及使用详解的相关资料,需要的朋友可以参考下
kerberos安装包
01-01
安装kerberos5时需要的rpm包,版本1.15.1-37.el7_6.x86_64。里面4个文件:krb5-libs-1.15.1-37.el7_6.x86_64.rpm;krb5-server-1.15.1-37.el7_6.x86_64.rpm;krb5-workstation-1.15.1-37.el7_6.x86_64.rpm;libkadm5...
Kerberos配置文件
06-27
3. 票证授权服务器(TGS)生成票据并返回给客户端,客户端使用票据访问服务器。 在安装Kerberos时,需要在集群中的一台主机上安装KDC,所有主机都需要部署Kerberos客户端。安装完成后,需要修改配置文件,例如修改/...
Kerberos协议理解
05-05
Kerberos是一种广泛使用的身份验证协议,旨在提供身份验证服务,以确保在不安全的网络环境中进行身份验证的安全性。下面将详细介绍Kerberos协议的概念、原理和工作流程。 1. Kerberos协议的基础概念 * KDC(Key ...
离线数仓-08-基于Kerberos进行用户认证
迷雾总会解
06-01 171
主要介绍了Kerberos,并且基于kerberos进行用户认证。
大数据之Kerberos认证与kafka开启Kerberos配置
m0_46168848的博客
08-06 7048
Kerberos 是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。.........
Kerberos从入门到精通以及案例实操系列(一)
prefect_start的博客
06-05 5841
整个kerberos认证的过程较为复杂,三次通信中都使用了密钥,且密钥的种类一直在变化,并且为了防止网络拦截密钥,这些密钥都是临时生成的Session Key,即他们只在一次Session会话中起作用,即使密钥被劫持,等到密钥被破解可能这次会话都早已结束,这为整个kerberos认证过程保证了较高的安全性。kerberos认证的整体流图kerberos认证的时序图本地登录(无需认证)远程登录(需进行主体认证,认证操作见下文)退出输入:exit2. 创建Kerberos主体。
【大数据安全-KerberosKerberos-Windows本地认证
weixin_53543905的博客
03-31 1829
1、Windows 本地的 krb5.ini 文件不能直接使用 krb5.conf 文件更名替换,否则会出现文件格式的问题导致 MIT Kerberos 客户端无法正常启动。2、在生成 keytab 文件时需要加上参数,否则会导致 kinit 时密码错误。3、在 Windows 本地安装了 Java 环境后,由于 Java 里也有 kinit、klist 等命令,所以需要在 Path 环境变量里面,将 Kerberos 的环境变量位置调整到Java环境变量的前面。
Kerberos使用对称加密还是非对称加密?解释一下为什么
08-11
### 回答1: Kerberos使用的是对称加密。 原因是Kerberos需要在客户端和服务器之间进行大量的加密和解密操作,而对称加密的计算量比非对称加密小得多,因此使用对称加密可以显著降低网络和计算负担。另外,Kerberos使用了时间戳和序列号等机制来确保通信的安全性,从而弥补了对称加密可能存在的安全性问题。 ### 回答2: Kerberos使用对称加密。 Kerberos是一种网络身份验证协议,旨在提供安全的身份认证服务。在Kerberos中,对称加密被用于加密通信内容,确保通信的机密性。 对称加密是一种加密方式,其中使用相同的密钥来加密和解密数据。这种加密方式的优势在于速度快,适合加密大量数据。在Kerberos中,由于身份验证过程中的通信量通常不是很大,因此使用对称加密可以提供高效的加密和解密过程。 Kerberos的基本工作原理是通过TGT(Ticket Granting Ticket)和服务票证对用户进行身份认证。当用户登录后,Kerberos服务器会生成一个TGT并使用用户的密码对其进行加密,然后将加密后的TGT返回给用户。用户在随后的通信中,使用TGT向Kerberos服务器请求特定服务的票证。 对称加密在Kerberos的身份验证过程中发挥重要作用,因为用户对TGT数据进行解密以获得访问特定服务的票证。同时,服务票证也使用对称加密进行保护,确保只有具有正确密钥的服务才能够解密和验证票证。 所以,Kerberos使用对称加密,通过对TGT和服务票证的加密和解密,确保用户的身份验证和通信内容的机密性。 ### 回答3: Kerberos使用的是对称加密。 Kerberos是一个网络认证协议,其目的是通过域控制器(KDC)来验证用户的身份,并为用户在网络中访问资源提供安全的认证机制。在Kerberos中,包含了三个实体,即用户、服务和KDC。用户通过KDC获取访问资源所需的“票据”,然后将该票据提供给服务来获取资源访问权限。 Kerberos中的票据主要包括两个部分,即票据授权票(Ticket Granting Ticket,TGT)和服务票据(Service Ticket)。为了确保传输过程中的安全性,Kerberos使用了加密算法。而对称加密算法在Kerberos中被应用于票据的加密。 对称加密是一种加密方式,使用相同的密钥进行加密和解密操作。在Kerberos中,用户和KDC之间传输的TGT需要进行加密,以确保第三方无法窃取和篡改该票据。因此,对称加密算法被用来加密和解密TGT,保护其机密性。 相比之下,非对称加密算法则用于票据中的服务票据。服务票据是为了向服务提供方证明用户的身份,并获取相应资源的权限。这涉及到用户和服务之间的通信,因此需要更高级别的安全性。非对称加密算法通过使用一对密钥,即公钥和私钥,来实现加密和解密操作。用户使用服务提供方的公钥加密服务票据,而服务提供方使用自己的私钥解密该票据。 综上所述,Kerberos在票据传输过程中使用对称加密算法保护TGT的安全性,而使用非对称加密算法确保服务票据的安全性。这样可以保证Kerberos协议的安全性和可靠性,从而实现网络用户的身份认证和资源访问控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值