一、KDC常用操作
kadmin.local :打开KDC控制台,需要root权限
addprinc :添加用户
添加用户,密码随机
addprinc -randkey root/admin
添加用户,输入用户密码
addprinc root/admin
delprinc :删除principle
delprinc hdfs/admin
xst -k keytab文件 用户:导出keytab文件
xst -k /xxx/xxx/kerberos.keytab hdfs/admin
getprinc:查看指定Principal的信息,包括每种密钥的加密类型、KVNO标签等
getprinc hdfs/admin
listprincs:列出所有Principal,在KDC控制台使用
listprincs
二、Client 常用操作
klist :列出当前系统用户的Kerberos认证情况
klist
klist -kt :列出指定Keytab文件中包含的Principal信息,需要该文件的读权限
klist -kt keytab文件
kinit :使用输入密码的方式认证指定的Principal
kinit test
kinit -kt :使用指定Keytab中的指定Principal进行认证,需要该文件的读权限
kinit -kt keytab文件 test/admin@HADOOP.COM
kdestroy :注销当前已经认证的Principal
kdestroy
三、ktutil :进入Keytab工具控制台
klist:查看当前ktutil中的秘钥表
ktutil: list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
ktutil: addent -password -p zhs2/admin@HENGHE.COM -k 1 -e aes128-cts-hmac-sha1-96
Password for zhs2/admin@HENGHE.COM:
ktutil: list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
1 1 zhs2/admin@HENGHE.COM
clear:清除当前秘钥表
rkt keytab文件:读取一个Keytab中的所用Principal信息到密钥表,需要有该文件的读权限
rkt /opt/test.keytab
wkt keytab文件:将密钥表中的所有Principal信息写入指定文件中。如果文件已存在,则需要该文件的写权限,信息会附加至文件末
wkt /opt/test.keytab
addent -password -p -k -e :手动添加一条Principal信息到密钥表,执行后需要输入指定Principal的密码。-e后面添加内容需要先执行klist -e
[root@henghe-75 ~]# klist -e
Ticket cache: KEYRING:persistent:0:krb_ccache_qq7k0c0
Default principal: zhs2/admin@HENGHE.COM
Valid starting Expires Service principal
03/10/2021 10:34:31 03/11/2021 10:34:10 krbtgt/HENGHE.COM@HENGHE.COM
renew until 03/17/2021 10:34:10, Etype (skey, tkt): aes128-cts-hmac-sha1-96, aes128-cts-hmac-sha1-96
addent -password -p zhs2/admin@HENGHE.COM -k 1 -e aes128-cts-hmac-sha1-96
delent:从密钥表中删除指定行号的Principal信息,行号可使用list或者l命令查看
quit :退出ktutil控制台