- 以超管身份进入kadmin
kadmin.local
addprinc -randkey root/master1@JENKIN.COM //生成随机key的principal
addprinc admin/admin //生成指定key的principal
listprincs //查看principal
change_password -pw xxxx admin/admin //修改admin/admin的密码
delete_principal admin/admin //删除principal
2.进入kadmin模式,需输入密码
kadmin
在客户端输入此命令,将会进入到管理模式(管理服务器),执行管理指令,达到和kadmin.local同样的效果;但是首先要通过kinit来切换到具有管理权限的用户,然后在kadmin进入管理模式。
3. 创建数据库
kdb5_util create -r JENKIN.COM -s
4. 启动服务
service krb5kdc start //启动kdc服务
service kadmin start //启动kadmin服务
service kprop start //启动kprop服务
5.生成dump文件
kdb5_util dump /var/kerberos/krb5kdc/slave_data
6. 将master数据库同步是slave
kprop -f /var/kerberos/krb5kdc/slave_data master2.com
7. 验证principal是否可用
kinit admin/admin
8. 为principal生成keytab,可同时添加多个
xst -norandkey -k /var/kerberos/krb5kdc/keytab/root.keytab root/master1@JENKIN.COM host/master1@JENKIN.COM
9. ktadd也可生成keytab
ktadd -k /etc/krb5.keytab host/master1@JENKIN.COM
10. 测试keytab是否可用
kinit -k -t /var/kerberos/krb5kdc/keytab/root.keytab root/master1@JENKIN.COM
11. 查看keytab
klist -e -k -t /var/kerberos/krb5kdc/keytab/root.keytab
klist -l
可以看到缓存的collection。klist以及klist -A都是现实当前主体的详细信息。但是只有Cache类型为DIR and API,KEYRING,KCM的时候,才可以在Cache中保存多个用户信息;否则只能看到当前用户的信息
- 续租
当发现renew date早于当前时间,则通过以下命令进行续租:
kinit -R - 从KeyTab中获取主体
kinit -kt path/XX.keytab xx@DOMAIN.COM - 销毁当前主体
kdestroy