进入kadmin
kadmin.local/kadmin
创建数据库
kdb5_util create -r JENKIN.COM -s
启动kdc服务
service krb5kdc start
启动kadmin服务
service kadmin start
修改当前密码
kpasswd
测试keytab可用性
kinit -k -t /var/kerberos/krb5kdc/keytab/root.keytab root/master1@JENKIN.COM
查看keytab
klist -e -k -t /etc/krb5.keytab
清除缓存
kdestroy
通过keytab文件认证登录
kinit -kt /var/run/cloudera-scm-agent/process/***-HIVESERVER2/hive.keytab hive/node2
kadmin模式下:
生成随机key的principal
addprinc -randkey root/master1@JENKIN.COM
生成指定key的principal
Addprinc -pw **** admin/admin@JENKIN.COM
查看principal
listprincs
修改admin/admin的密码
cpw -pw xxxx admin/admin
添加/删除principle
addprinc/delprinc admin/admin
直接生成到keytab
ktadd -k /etc/krb5.keytab host/master1@JENKIN.COM
设置密码策略(policy)
addpol -maxlife "90 days" -minlife "75 days" -minlength 8 -minclasses 3 -maxfailure 10 -history 10 user
添加带有密码策略的用户
addprinc -policy user hello/admin@HADOOP.COM
修改用户的密码策略
modprinc -policy user1 hello/admin@HADOOP.COM
删除密码策略
delpol [-force] user
修改密码策略
modpol -maxlife "90 days" -minlife "75 days" -minlength 8 -minclasses 3 -maxfailure 10 user
说明
kdestroy
删除票据
kinit zhangsan
{需要密码}获取张三的票据
票据有效期使用的是默认值,此处是12小时
kinit -l 1h zhangsan
获取张三的票据,指定过期时间是1小时
过期时间的单位有 s秒 m分钟 h小时 d天
如果时间超过设置最大值,使用最大值
klist
查看票据
Valid starting 生效时间
Expires 过期时间
renew until 在此时间之前都可以免密续期
kinit -R
续期,注意不会改变renew until
客户端的配置文件是 /etc/krb5.conf
Kerberos 凭证(ticket) 有两个属性, ticket_lifetime 和 renew_lifetime。其中 ticket_lifetime 表明凭证生效的时限,一般为24小时。在凭证失效前部分凭证可以延期失效时间(即Renewable), renew_lifetime 表明凭证最长可以被延期的时限,一般为一个礼拜。当凭证过期之后,对安全认证的服务的后续访问则会失败。
免密登录
#删除票据
kdestroy
######################
#管理票据,进入ktutil
ktutil
添加票据
add_entry -password -p {
用户名} -k 1 -e aes128-cts
add_entry -password -p zhangsan -k 1 -e aes128-cts
会提示输入密码
Password ....
票据保存到文件
write_kt /opt/priv.k
退出 ktutil
q
######################
查看票据
klist -kt /opt/priv.k -e
使用票据授权
kinit -kt /opt/priv.k zhangsan
查看系统票据
klist -e
注意:遇见错误提示
kinit: Key table entry not found while getting initial credentials