Kerberos ticket lifetime

最新推荐文章于 2023-07-04 09:06:51 发布
最新推荐文章于 2023-07-04 09:06:51 发布
阅读量5.8k 收藏 7
点赞数 6
分类专栏: Kerberos 文章标签: Kerberos ticket
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yinansheng1/article/details/79397309
版权

Ticket lifetime## 标题 ##

Kerberos ticket具有lifetime,超过此时间则ticket就会过期,需要重新申请或者renew。Ticket lifetime取决于以下5项设置中的最小值:
1.kerberos Server上的/var/kerberos/krb5kdbc/kdc.conf中的max_life
2.内置principal krbtgt的maxmum ticket life,可在kadmin命令下执行getprinc命令查看
3.Principal的maximum tiket life time,在kadmin命令下用getprinc命令查看,示例:

Maximum ticket life: 1 day 00:00:00
Maximum renewable life: 0 days 00:00:00

4.kerberos client上/etc/krb5.conf的ticket_lifetime

ticket_lifetime = 24h

5.kinit –l参数后面指定的时间,示例:
要获得一个生命期为 10 小时五天内可更新的票据授权票据,请输入:

kinit -l 10h -r 5d my_principal

要更新一个存在票据,请输入:

kinit -R

延长ticket时间操作:
1) /var/kerberos/krb5kdbc/kdc.conf中的max_life

[realms]
 HKDC = {
   ……
   max_life = 5d
   max_renewable_life = 10d
}

2) 内置principal krbtgt的maxmum ticket life

modprinc -maxlife 2days krbtgt/HKDC@HKDC

3) Principal的maximum tiket life time

modprinc -maxlife 2days hbase/fys1.cmss.com@HKDC

修改示例如下:

kadmin.local:  getprinc  hbase/fys1.cmss.com@HKDC
Principal: hbase/fys1.cmss.com@HKDC
Maximum ticket life: 2 days 00:00:00
Maximum renewable life: 2 days 00:00:00

4) /etc/krb5.conf的ticket_lifetime

 [libdefaults]
  renew_lifetime = 7d
  ticket_lifetime = 2d

获取ticket时间如下:

kinit -kt hbase.service.keytab hbase/fys1.cmss.com@HKDC

lifetime如下:

[root@fys1 keytabs]# klist
Default principal: hbase/fys1.cmss.com@HKDC

Valid starting     Expires            Service principal
09/11/17 16:22:47  09/13/17 16:22:47  krbtgt/HKDC@HKDC

Ticket生命周期为两天

5) kinit –l指定ticket时间

命令如下:

kadmin: modprinc -maxrenewlife 11days +allow_renewable {principal}
kadmin: modprinc -maxlife 6minutes {principal}
kadmin: getprinc {principal} //retrieve the detail info of principal
kinit -R //renew current ticket
kinit {principal} -kt {keytab file} //init a principal via keytab file
大数据姐姐
关注
专栏目录
离线数仓之Kerberos基本使用及问题记录
CSDN2022博客之星Top39;华为云博主7&,CSDN、稀土掘金、微信公众号、阿里云开发者社区、腾讯云社区、博客园、知乎、51CTO同名博主WHYBIGDATA;
09-18 595
离线数仓之Kerberos基本使用及问题记录
Kerberos ticket 生命周期
偷闲小苑
11-27 4483
基本概念 Kerberos ticket 有两种生命周期,ticket timelife (票据生命周期) 和 renewable lifetime (可再生周期)。 当 ticket lifetime 结束时,该 ticket 将不再可用。 如果 renewable lifetime > ticket lifetime ,那么在票据生命周期内都可以其进行续期,直到达到可再生周期的上限...
kerberos】深入理解kerberos票据生命周期
Mrerlou的博客
06-17 2034
查看当前服务器票据 Valid starting:认证的时间,也就是执行kinit的时间:2019-11-27T14:01:44 Expires:失效时间2019-11-28T14:01:44,这个时间是票据当前生命周期的失效时间 renew until:票据一个生命周期过后,都会自动刷新一次获得新的票据,直到2019-12-04T14:01:44,每次刷新后Expires都会变化; 当然也可以手动刷新 手动刷新的话,valid starting和Expires会变,renew until不变 其实可以
hdfs/hbase 程序利用Kerberos认证超过ticket_lifetime期限后异常
asdfgh0077的博客
07-30 116
hdfs/hbase 程序利用Kerberos认证超过ticket_lifetime期限后异常
java -jar 默认参数_0579-Java 应用程序中修改Kerberos ticket_lifetime参数无效异常
weixin_36254564的博客
12-18 165
作者:辉少1.文档编写目的在Kerberos环境中,我们的应用程序通过Java代码来提交任务需要先进行Kerberos凭证的初始化然后进行应用程序的提交,本文档主要讲述Java应用程序中读取krb5.conf 中配置ticket_lifetime 参数不生效的异常分析。测试环境1.CM和CDH版本为5.15.12.操作系统版本为RedHat7.23.集群已启用Kerberos4.JDK 1.8.1...
0579-5.15.1-Java 应用程序中修改Kerberos ticket_lifetime参数无效异常分析
Hadoop_SC的博客
11-10 663
1 文档编写目的 在Kerberos环境中,我们的应用程序通过Java代码来提交任务需要先进行Kerberos凭证的初始化然后进行应用程序的提交,本文档主要讲述Java应用程序中读取krb5.conf 中配置ticket_lifetime 参数不生效的异常分析。 测试环境 1.CM和CDH版本为5.15.1 2.操作系统版本为RedHat7.2 3.集群已启用Kerberos 4.JDK 1....
java实现flink订阅Kerberos认证的Kafka消息示例源码
04-16
在Java中,可以通过`System.setProperty("java.security.krb5.ticket_lifetime", "86400")`等方法调整票证的生命周期。 - 在Flink作业中,你可以使用`org.apache.flink.api.common.functions.RuntimeContext`来定期...
kafka 配置kerberos安全认证
01-28
ticket_lifetime = 24h renew_lifetime = 7d forwardable = true [realms] TEST1.COM = { kdc = DSJPT-VM41 kdc = DSJPT-VM42 admin_server = DSJPT-VM41 } [domain_realm] .example.com = TEST1.COM example....
java impala_java jdbc连接impala (集成Kerberos)
weixin_33561350的博客
02-16 849
有这样的一个业务场景-客户端通过接口访问impala Daemon,impala做查询并返回数据给到客户端;下面通过impala jdbc访问服务方式来介绍客户端调用接口访问impala场景访问实例前,会做kerberos认证; 通过后就允许访问相关服务在实施方案前,假设读者已经基本熟悉以下技术 (不细说)Java,mavenimpala, hdfs,kerberos方案实施把kdc服务端krb...
centos7 pyhive连接hive(基于kerberos安全验证)
07-23
ticket_lifetime = 24h renew_lifetime = 7d forwardable = true allow_weak_crypto = true default_tkt_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 default_tgs_enctypes = des-cbc-md5 des-cbc-crc des3-...
CDH开启kerberos报错:Ticket expired
qq_32068809的博客
08-19 924
我是参考cloudera官方文档上的开启kerberos向导做的,地址:https://docs.cloudera.com/cdp-private-cloud-base/7.1.5/security-kerberos-authentication/topics/cm-security-kerberos-enabling-step4-kerberos-wizard.html 开启过程中,最后的启动集群步骤开始报错,报错的服务有kafka、hbase、JobHistory等,相关日志如下: kafka、hb
Kerberos验证失败:Kinit: Ticket expired while renewing credentials
最新发布
m0_37759590的博客
07-04 1028
Kerberos验证失败:Kinit: Ticket expired while renewing credentials
解决DolphinScheduler配置Kerberos过期问题(无效,请看完结版)
qq_18453581的博客
05-26 1511
DolphinScheduler除了kerberos.expire.time注释掉,其他正常配置,定时更新ticket在20点,几乎没有任务运行,klist中renew until 2023-06-01T20:00:01,之前失效的都是整点无法自动续期时renew until时间固定不变,自动续期时renew until每天更新。
Kerberos ticket lifetime及其它
weixin_34308389的博客
06-29 246
前言 之前的博文中涉及到了Kerberos的内容,这里对Kerberos ticket lifetime相关的内容做一个补充。 ticket lifetime Kerberos ticket具有lifetime,超过此时间则ticket就会过期,需要重新申请或renew。ticket lifetime取决于以下5项设置中的最小值: Kerberos server上/var/kerber...
kerberos认证_Hadoop2.x安全:hadoop之kerberos认证(三、常用命令、有效期)
weixin_39568781的博客
12-03 1091
微信公众号: 大数据开发运维架构关注可了解更多大数据相关的资讯。问题或建议,请公众号留言;如果您觉得“大数据开发运维架构”对你有帮助,欢迎转发朋友圈概述: 开启了Kerberos认证集群之后,集群不再像以前一样随意操作,需要证书进行登录,这里就讲一下我们日常用的的一些kerberos相关的一些操作,包括票据的创建、删除、有效期更改等。常用操作:1.登录控制台,如果直接kdc本地登录的话输入kadm...
kerberos票证生存周期
weixin_30530523的博客
05-07 959
一、基本概念 Kerberos ticket 有两种生命周期,ticket timelife (票据生命周期) 和 renewable lifetime (可再生周期)。 当 ticket lifetime 结束时,该 ticket 将不再可用。 如果 renewable lifetime > ticket lifetime ,那么在票据生命周期内都可以其进行续期,直到达到可再生周...
Kerberos 的安装和使用
u011250186的博客
11-25 3854
Kerberos 的安装和使用
【域权限维持】-黄金票据
qq_41617902的博客
11-07 1358
Windows域权限维持-黄金票据
kerberos的tgt时间理解
weixin_33812433的博客
03-25 540
之前在impala集成kerberos时,遇到了时间相关的问题,当时没有做充分的测试,对某些理解有些问题(http://caiguangguang.blog.51cto.com/1652935/1381323),今天正好做了下测试,总结如下:1.klist中expires以及renew until是由client端的/etc/krb5.conf配置文件中的参数决定(在没有超过...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值