kerberos的tgt时间理解

最新推荐文章于 2024-06-04 17:28:26 发布
最新推荐文章于 2024-06-04 17:28:26 发布
阅读量790 收藏 4
点赞数 1
文章标签: java
原文链接:https://yq.aliyun.com/articles/434617
版权

之前在impala集成kerberos时,遇到了时间相关的问题,当时没有做充分的测试,对某些理解有些问题(http://caiguangguang.blog.51cto.com/1652935/1381323),今天正好做了下测试,总结如下:

1.klist中expires以及renew until是由client端的/etc/krb5.conf配置文件中的参数决定(在没有超过max的情况)。

1
2
3
4
5
6
server端对应的配置为:
ticket_lifetime = 1h
renew_lifetime = 1d
client端对应的配置为:
ticket_lifetime = 4h
renew_lifetime = 5d

2.server端kdc.conf的配置起到限制client的作用。在client的设置超过max的设置时,按max取值
比如server端设置

1
2
3
4
5
6
7
8
9
max_life = 25h
max_renewable_life = 71d
client端设置
ticket_lifetime = 40h
renew_lifetime = 200d
klist的结果为server配置的值:
Valid starting Expires Service principal
03 /25/14  11:55:41 03 /26/14  12:55:41 krbtgt /KERBEROS_HADOOP @KERBEROS_HADOOP
         renew  until  06 /03/14  11:55:41

3.kdc.conf配置的更改对新建的principal会立即生效,旧的不会生效,如果需要对旧的principal生效,需要modprinc
比如:

1
modprinc -maxlife 32days -maxrenewlife 32days +allow_renewable krbtgt /REALM

4.理解ticket_lifetime和renew_lifetime
超过renew_lifetime时间之后,不能kinit -R,kinit -R不会改变tgt cache的renew until时间,如果想要改变tgt cache的renew until时间
可以使用kinit -r xx来renew tgt,最大时间由max_renewable_life限制。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
ticket_lifetime = 40w
renew_lifetime = 200w
klist
Valid starting Expires Service principal
03 /25/14  12:04:25 03 /25/14  12:05:05 krbtgt /KERBEROS_HADOOP @KERBEROS_HADOOP
         renew  until  03 /25/14  12:07:45
  date
Tue Mar 25 12:05:38 CST 2014
   #超过了expires的时间,但是没有超过renew until的时间
kinit -R
   #可以renew,renew until的时间不会变
klist
Valid starting Expires Service principal
03 /25/14  12:05:46 03 /25/14  12:06:26 krbtgt /KERBEROS_HADOOP @KERBEROS_HADOOP
         renew  until  03 /25/14  12:07:45
date
   #超过renew until的时间
Tue Mar 25 12:08:04 CST 2014
kinit -R
  #不能renew
kinit(v5): Ticket expired  while  renewing credentials


5.w不代表week的意思,是s的意思(和不带单位一样)

6.如果renew_lifetime 的时间小于ticket_lifetime的时间,则renew until和Expires 时间相同,运行kinit -R不会生效,但是可以运行kinit -r xx

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
ticket_lifetime = 60
renew_lifetime = 10
Valid starting Expires Service principal
03 /25/14  12:25:38 03 /25/14  12:26:38 krbtgt /KERBEROS_HADOOP @KERBEROS_HADOOP
         renew  until  03 /25/14  12:26:38
date  && kinit -R ;klist
Tue Mar 25 12:27:29 CST 2014
Valid starting Expires Service principal
03 /25/14  12:27:29 03 /25/14  12:27:46 krbtgt /KERBEROS_HADOOP @KERBEROS_HADOOP
         renew  until  03 /25/14  12:27:46
date &&kinit -k -t hdfs.keytab hdfs /xxxxx @KERBEROS_HADOOP -r 10d;klist
Tue Mar 25 12:36:49 CST 2014
Valid starting Expires Service principal
03 /25/14  12:36:49 03 /25/14  12:37:49 krbtgt /KERBEROS_HADOOP @KERBEROS_HADOOP
         renew  until  04 /04/14  12:36:49
   #renew life time变化了


7.renew_lifetime的优先级高于max_renewable_life,如果renew_lifetime<=max_renewable_life,
则取renew_lifetime,renew_lifetime>=max_renewable_life时,也是取renew_lifetime的值

1
2
3
4
5
6
7
ticket_lifetime = 60
renew_lifetime = 120
max_life = 25h
max_renewable_life = 10
Valid starting Expires Service principal
03 /25/14  12:42:20 03 /25/14  12:43:20 krbtgt /KERBEROS_HADOOP @KERBEROS_HADOOP
         renew  until  03 /25/14  12:44:20



本文转自菜菜光 51CTO博客,原文链接:http://blog.51cto.com/caiguangguang/1383723,如需转载请自行联系原作者
weixin_34327223
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kerberos协议
EDDJH_31的博客
08-01 731
前几天在复现MS14_068漏洞时,发现漏洞原理跟Kerberos协议有关,当时就大致看了一下。今天下午突然看到Kerberos协议的时候,发现自己对协议还是不太明白,所以在网上找了些资料认真看了一下,做个总结跟大家分享一下 Kerberos(/ˈkərbərəs/)是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。 协议的安全主要依赖
TryHackMe-进攻性渗透测试-14_活动目录利用
M1n9K1n9的博客
12-25 544
现在我们已经进行了内部侦察,并了解了有关AD结构和环境的土地布局,是时候进入开发阶段了。此阶段利用错误配置来执行横向移动和权限提升的组合,直到我们到达合适的位置来执行我们的目标,如下图所示。这个阶段通常与坚持相结合,以确保我们不会失去我们获得的新位置,但这将在下一个房间中介绍。它通常也与额外的枚举相结合,因为我们的新位置可能允许我们获得有关土地布局的其他信息。Active Directory 可以通过称为权限委派的功能委派权限和特权(不要与下一个任务中将讨论的 Kerberos 委派混淆)。
关于认证协议
最新发布
2301_81475812的博客
06-04 1499
该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在平时的测试中,经常会碰到处于工作组的计算机,主机A想要访问主机B上的资源,就要向主机B发送一个存在于主机B上的一个账户,主机B接收以后会在本地进行验证,如果验证成功,才会允许主机A进行相应的访问。本地认证的意思就是,我们的电脑上存储着自己的账号密码,无论电脑是否联网,只要能开机,就可以输入账号密码登录到电脑中,工作组就是采用本地认证。
大数据之Kerberos认证
m0_70949976的博客
05-15 5564
Kerberos 是一个网络身份验证协议,用于在计算机网络中进行身份验证和授权。它提供了一种安全的方式,允许用户在不安全的网络上进行身份验证,并获取访问网络资源的权限。
【转】谈谈基于Kerberos的Windows Network Authentication
cheran的专栏
12-13 1108
http://www.cnblogs.com/artech/archive/2007/07/07/809545.html Content: 基本原理 引入Key Distribution: KServer-Client从何而来 引入Authenticator : 为有效的证明自己提供证据 引入Ticket Granting  Service:如何获得Ticket Kerbe
Kerberos协议理解
05-05
Kerberos协议理解 Kerberos是一种广泛使用的身份验证协议,旨在提供身份验证服务,以确保在不安全的网络环境中进行身份验证的安全性。下面将详细介绍Kerberos协议的概念、原理和工作流程。 1. Kerberos协议的基础...
三步轻松理解Kerberos协议
06-19
总的来说,理解和掌握Kerberos协议对于网络管理员、系统安全专家以及进行域渗透测试的专业人士至关重要,因为它为理解企业级网络安全机制提供了基础。在日常工作中,正确配置和管理Kerberos能有效保护组织的敏感信息...
kerberos环境搭建
06-27
Kerberos是一种网络认证协议,它为用户提供了一种安全的身份验证机制,特别是在分布式环境中。该协议基于密钥分发中心(KDC),确保了通信双方的身份,并...记住,理解Kerberos的工作原理和安全特性是成功部署的关键。
Kerberos.zip
03-11
《深入理解Kerberos:基于C语言的实现》 Kerberos是一种广泛应用于网络认证的安全协议,由麻省理工学院开发,旨在提供强身份验证和安全的网络通信。它的核心理念是通过分布式密钥分发中心(KDC)来确保用户和服务...
kerberos安全认证
12-29
Kerberos是一种广泛应用于网络身份验证的安全协议,它由麻省理工学院开发并设计,旨在提供强...这个压缩包文件中的内容可能包含了这些组件的Kerberos配置示例和开发文档,对于理解和实施Kerberos安全认证非常有价值。
Kerberos 认证协议详解
02-14
Kerberos 协议本身,及其应用场景都进行了详细讲解,不可多得的好文
解决关于Kerberos的Failed to find any Kerberos tgt问题
热门推荐
u010608720的专栏
07-23 1万+
错误描述 Secure Client Cannot Connect ([Caused by GSSException: No valid credentials provided(Mechanism level: Failed to find any Kerberos tgt)]) 解决方法: 1、一种是由于kerberos的keytab权限问题导致,一般用kinit -kt /var/lib/hadoop-hdfs/hdfs.keytab hdfs/admin 类似的命令可以解决。 2..
在CDH5.16.1中启用Kerberos
韦不二的博客
12-27 409
文章目录1.KDC服务安装及配置2. CDH集群启用Kerberos卸载Kerberos 1.KDC服务安装及配置 本文档中将KDC服务安装在Cloudera Manager Server所在服务器上(KDC服务可根据自己需要安装在其他服务器) 在Cloudera Manager服务器上安装KDC服务 [root@cdh001 ~]# yum -y install krb5-server krb5-libs krb5-auth-dialog krb5-workstation 修改/etc/krb5.
kerberos票证生存周期
weixin_30530523的博客
05-07 935
一、基本概念 Kerberos ticket 有两种生命周期,ticket timelife (票据生命周期) 和 renewable lifetime (可再生周期)。 当 ticket lifetime 结束时,该 ticket 将不再可用。 如果 renewable lifetime > ticket lifetime ,那么在票据生命周期内都可以其进行续期,直到达到可再生周...
浅析Kerberos原理,及其应用和管理
weixin_30577801的博客
03-12 886
文章作者:luxianghao 文章来源:http://www.cnblogs.com/luxianghao/p/5269739.html 转载请注明,谢谢合作。 免责声明:文章内容仅代表个人观点,如有不当,欢迎指正。 --- 一,引言   Kerberos简单来说就是一个用于安全认证第三方协议,它采用了传统的共享密钥的方式,实现了在网络环境不一定保证安全的环...
理解Kerberos:Windows网络认证详解
1. Ticket Granting Ticket(TGT)获取:Client首先向Kerberos认证服务器(KDC)请求TGT。这个请求包含Client的凭据(如用户名和密码),经过KDC验证后,KDC返回一个加密的TGT,其中包含了Client的身份信息和KDC与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值