Kerberos化http接口访问

最新推荐文章于 2021-11-22 10:27:00 发布
最新推荐文章于 2021-11-22 10:27:00 发布
阅读量2.1k 收藏 2
点赞数 1
分类专栏: kerberos druid 文章标签: kerberos ui kerberos spnego negotiate
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43172032/article/details/111465969
版权

Kerberos化http接口访问

一,Linux ,Mac os 环境下curl 命令访问

1.1, 拷贝 服务器上的 /etc/krb5.conf 文件还至目标电脑上。

在这里插入图片描述
涉及到路径的配置项,要么配置成实际存在的路径,要么全注释掉使用默认值。

renew_lifetime = 7d 最好去掉,容易导致奇怪的问题,原因未知。

1.2, 执行kinit 获取票据,curl访问接口

curl -i --negotiate -u:${principls} -X GET ${URL}

在这里插入图片描述

二,mac 环境下使用浏览器访问Kerberos 化 UI

2.1 拷贝/etc/krb5.conf 文件,执行kinit

同上步骤

2.2 safari浏览器

Safari支持kerberos,认证成功后不需要做任何操作,直接打开界面就可以了。
在这里插入图片描述
在这里插入图片描述

2.3 Chrome浏览器打开界面

执行如下命令:

defaults write com.google.Chrome AuthServerWhitelist "*"
defaults write com.google.Chrome AuthNegotiateDelegateWhitelist "*"

/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --auth-server-whitelist="*"

“/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome”
是你Chrome浏览器实际的安装路径。

三,windows环境下使用浏览器访问Kerberos 化 UI

windows 环境下 目前只支持Firefox浏览器。

3.1 下载安装 KerberosTicket Manager

下载地址:http://web.mit.edu/kerberos/dist/kfw/4.1/kfw-4.1-amd64.msi

3.2 拷贝集群里的/etc/krb5.conf文件到本地 并改名为krb5.ini,其中与路径相关的注释掉或者配置成本地的路径,不然启动报错。

3.3 添加环境变量KRB5_CONFIG,KRB5CCNAME。

KRB5_CONFIG 指向3.2中提到的krb5.ini 文件
KRB5_CONFIG: 随意指向一个存在的目录就行,用来在其中保存一些缓存信息。

在这里插入图片描述

3.4 配置Firefox浏览器

打开浏览器,在地址栏输入about:config
在搜索栏依次输入下面5个参数,进行相应修改并保存

1)network.negotiate-auth.trusted-uris = .edu.org(此处根据krb5.ini文件中的realms值修改)
2)network.negotiate-auth.using-native-gsslib = false
3)network.negotiate-auth.gsslib =C:\Program Files\MIT\Kerberos\bin\gssapi64.dll
4)network.auth.use-sspi = false
5)network.negotiate-auth.allow-non-fqdn = true

在这里插入图片描述

3.5 , 打开KerberosTicket Manager 获取票据

在这里插入图片描述
启动Firefox访问页面

在这里插入图片描述

cangchen@csdn
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kerberos安装配置 + SPNEGO + windows安装
tof
01-12 1832
Kerberos 1.简介 Kerberos简单来说就是一个用于安全认证第三方协议,它采用了传统的共享密钥的方式,实现了在网络环境不一定保证安全的环境下,client和server之间的通信,适用于client/server模型,由MIT开发和实现。   Kerberos的神秘之处在于,它并不要求通信双方所在的网络环境是安全的,即使通信过程中数据被截取或者篡改依然不会影响它的正常工作,它提供的认证是双向的,不仅能保证Server不被错误的Client使用,同时也能保证Client不使用错误的Serve
pcap数据包脱敏匿名
最新发布
村中少年的专栏
04-29 188
介绍如何将pcap数据包中敏感信息进行脱敏,敏感信息匿名,敏感信息卫生方法,使得pcap数据包的分析符合特定法规的要求
windows 配置kerberos访问启用spnego的CDH 集群web UI页面
weixin_33749131的博客
11-29 412
一 问题描述   CDH集群启用 HTTP Web 控制台的 Kerberos 身份验证后,FireFox下HTTP访问HDFS、Yarn、Hive、HBase等Hadoop服务的Web UI(如Namenode的50070,Yarn的8088)等出现错误: GSSException: Defective token detected (Mechanism level: GSSHeader d...
KerberosHTTP中的应用
03-31
Kerberos是在Internet上长期被采用的一种安全鉴别机制。本文在分析各种传统HTTP鉴别协议的缺陷的基础上,探讨了KerberosHTTP通信中鉴别的优势,并提出了一种具体实现的设计模型
访问开启KerberosHTTP接口
minghai
07-29 891
HTTP访问开启Kerberos接口工具类 import java.io.IOException; import java.security.Principal; import java.security.PrivilegedAction; import java.util.HashMap; import java.util.HashSet; import java.util.Set; import javax.security.auth.Subject; import javax.securi
HttpClient请求开启Kerberos的服务
Tu_maimes
03-29 1104
示例 方案一 import org.apache.http.HttpResponse; import org.apache.http.auth.AuthSchemeProvider; import org.apache.http.auth.AuthScope; import org.apache.http.auth.Credentials; import org.apache.http.client.HttpClient; import org.apache.http.client.config.AuthS
Kerberos API
09-18
这是逆向工程用于API探测的工具 很好用 逆向工程必备工具之一
kerberos
hrzgj的博客
07-12 228
参考链接: 腾讯云kerberos基本概念介绍 https://cloud.tencent.com/document/product/589/35064 kerberos常用命令 http://wzktravel.github.io/2016/03/01/how-to-use-kerberos-in-CDH/ kerberos官网 https://web.mit.edu/kerberos/krb5...
安装笔记:hadoop+hbase+sqoop2+phoenix+kerberos
01-12
HBase是基于Hadoop的分布式列式数据库,用于实时访问大量结构数据。HBase的相关端口包括Master HTTP服务(16010)和Region Server HTTP服务(16030)。此外,Thrift接口默认监听9090端口,用于支持多种编程语言的...
信息系统安全实验(七):使用Kerberos实现网络身份认证
agjirowjtg的博客
02-01 6023
这是信息系统安全实验系列的第七篇~ 1. 背景知识 (1)概述        Kerberos又指麻省理工学院为这个协议开发的一套计算机网络安全系统。系统设计上采用客户端/服务器结构与DES加密技术,并且能够进行相互认证,即客户端和服务端均可对对方进行身份认证。 (2)概念 ①    密钥分发中心(KDC)        Kerberos使用了一个由两个独立的逻辑部分:认证服务器(同身...
软件测试_接口测试之协议和端口汇总(3)
多测师肖sir的博客
11-22 513
网络接口大全 TCP/UDP常用端口号 7 Echo(PING) 9 丢弃 13 Daytimer 19 字符生成器 20 /tcp FTP数据 21 /tcp FTP控制 文件传输协议 22 /tcp SSH 安全登录、文件传送(SCP)和端口重定向 23 /tcp Telnet 不安全的文本传送 25 /tcp SMTP 简单邮件传输协议(Simple Mail Transfer Protocol)(E-mail) 53 /tcp 域名服
Kerberos身份验证访问Web HttpFS
weixin_30650859的博客
08-20 893
原文出处:https://www.ibm.com/support/knowledgecenter/en/SSPT3X_3.0.0/com.ibm.swg.im.infosphere.biginsights.admin.doc/doc/kerberos_httpfs.html 使用带有以下密码和keytab的example_user@ BIGDATA-HEBOAN.COM运行kin...
HttpURLConnection高阶使用之kerberos认证解决方案
Tu_maimes
07-14 655
1、HttpURLConnection 简介 sun.net.www.protocol.http.HttpURLConnection是jdk中默认执行请求时使用。此HttpURLConnection 支持多种权限认证方案,NegotiateKerberos)、Basic、Digest认证,本节主要介绍NegotiateKerberos)。 2、示例代码 开启kerberos的服务 配置krb5.conf文件 import sun.misc.IOUtils; import java.io.IOExce
[Kerberos基础]-- httpclient访问httpfs服务(有Kerberos认证)
欢迎来到我的博客,一起探索代码里的世界!
07-09 5681
场景:cdh集群已经添加kerberos认证,但是需要访问httpfs服务,怎么办? 如下实现: 1、引入maven <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/...
利用CURL命令调用WebHDFS REST API与Kerberos机制
tanzhangwen的专栏
09-26 8903
1. CURL安装 cURL是一个利用URL语法在命令行下工作的文件传输工具,1997年首次发行。它支持文件上传和下载,所以是综合传输工具,但按传统,习惯称cURL为下载工具。cURL还包含了用于程序开发的libcurl。CURL官方网站:http://curl.haxx.se/ 1.1 Linux安装 这个网上资料比较多,只要搜索“curl 安装 linux”就应该有不少介绍。 1.
kerberos认证_一文搞定Kerberos
weixin_39568133的博客
12-03 534
Kerberos 是一种身份认证协议,被广泛运用在大数据生态中,甚至可以说是大数据身份认证的事实标准。本文将详细说明 Kerberos 原理。PS: 这是 Introduction To Kerberos 的文字版,感兴趣的小伙伴可以直接下载pdf。一、关于 Kerberos 的典型问题Kerberos 是什么?Kerberos 具体原理是什么?为什么 Kerberos 是一种成熟可靠的身份认证协...
Linux kerberos安装
weixin_43172032的博客
11-17 2334
Linux kerberos安装一,节点规划。二,安装配置server。2.1 修改kdc配置文件:2.2 修改kadmin访问控制文件:2.3修改krb5配置文件:2.4创建realm2.5 开启krb5kdc和kadmin服务,并设置开机启动2.6 添加kerberos用户生产keytab文件三 ,客户端安装及验证。 一,节点规划。 节点 角色 hdp001.edu.org server,client hdp002.edu.org client hdp003.edu.org cl
Kerberos安装及使用
weixin_30575309的博客
10-16 283
转载请注明出处:http://www.cnblogs.com/xiaodf/ 2. 安装 Kerberos2.1. 环境配置  安装kerberos前,要确保主机名可以被解析。   主机名 内网IP 角色 Vmw201 172.16.18.201 Master KDC Vmw202 172.16.18.202 Kerberos client Vmw203 ...
java API 访问带有Kerberos认证的HBase时window服务器的配置
qq_36864672的博客
08-30 495
首先第一步,是确定的代码运行在window服务器还是linux服务器下, 如果是window服务器下,首先要检测window服务器是否可以连接的通 hadoop平台的zk (2181端口) (telnet xxx.xxx.xxx.xxx 2181)确定连接无误的情况下,进行连接hbase服务器的验证操作(60020端口) (telnet xxx.xxx.xxx.xxx 60020)两者都通的话。下...
创建kerberos用户访问hadoop
05-24
要创建一个Kerberos用户来访问Hadoop,您需要采取以下步骤: 1. 创建一个Kerberos用户账户。您可以使用命令行工具kadmin来创建,例如: ``` sudo kadmin.local -q "addprinc -randkey <username>" ``` 其中,`<username>`是您要创建的Kerberos用户名。 2. 为该用户生成keytab文件。keytab文件包含了用户的Kerberos凭据,用于在不需要交互式输入密码的情况下进行身份验证。您可以使用命令行工具kadmin来生成keytab文件,例如: ``` sudo kadmin.local -q "ktadd -k /path/to/keytab <username>" ``` 其中,`/path/to/keytab`是您要生成的keytab文件的路径。 3. 将keytab文件分发到Hadoop集群的所有节点上。您可以使用scp命令将文件复制到每个节点上,例如: ``` scp /path/to/keytab <node>:/path/to/keytab ``` 其中,`<node>`是Hadoop集群中的节点。 4. 配置Hadoop以使用Kerberos身份验证。您需要编辑Hadoop配置文件core-site.xml和hdfs-site.xml,添加以下属性: ``` <property> <name>hadoop.security.authentication</name> <value>kerberos</value> </property> <property> <name>hadoop.security.authorization</name> <value>true</value> </property> <property> <name>hadoop.security.auth_to_local</name> <value> RULE:[1:$1@$0](.*@EXAMPLE.COM)s/@.*// RULE:[2:$1@$0](.*@EXAMPLE.COM)s/.*/hdfs/ </value> </property> <property> <name>dfs.namenode.keytab.file</name> <value>/path/to/keytab</value> </property> <property> <name>dfs.namenode.kerberos.principal</name> <value>hdfs/_HOST@EXAMPLE.COM</value> </property> ``` 其中,`/path/to/keytab`是keytab文件的路径,`hdfs/_HOST@EXAMPLE.COM`是Hadoop集群的Kerberos服务主体。 5. 重启Hadoop服务以使配置更改生效。 现在,您可以使用Kerberos用户名和keytab文件访问Hadoop集群。例如,您可以使用以下命令在HDFS上创建目录: ``` sudo -u hdfs kinit -kt /path/to/keytab <username> sudo -u hdfs hdfs dfs -mkdir /user/<username> ``` 其中,`<username>`是您的Kerberos用户名。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值