进入kadmin

kadmin.local/kadmin

创建数据库

kdb5_util create -r JENKIN.COM -s　

启动kdc服务

service krb5kdc start

启动kadmin服务

service kadmin start　

修改当前密码

kpasswd

测试keytab可用性

kinit -k -t /var/kerberos/krb5kdc/keytab/root.keytab root/master1@JENKIN.COM

查看keytab

klist -e -k -t /etc/krb5.keytab　

清除缓存

kdestroy

通过keytab文件认证登录

kinit -kt /var/run/cloudera-scm-agent/process/***-HIVESERVER2/hive.keytab hive/node2

kadmin模式下：

生成随机key的principal

addprinc -randkey root/master1@JENKIN.COM

生成指定key的principal

Addprinc -pw **** admin/admin@JENKIN.COM

查看principal

listprincs

修改admin/admin的密码

cpw -pw xxxx admin/admin

添加/删除principle

addprinc/delprinc admin/admin

直接生成到keytab

ktadd -k /etc/krb5.keytab host/master1@JENKIN.COM　

设置密码策略(policy)

addpol -maxlife "90 days" -minlife "75 days" -minlength 8 -minclasses 3 -maxfailure 10 -history 10 user

添加带有密码策略的用户

addprinc -policy user hello/admin@HADOOP.COM

修改用户的密码策略

modprinc -policy user1 hello/admin@HADOOP.COM

删除密码策略

delpol [-force] user

修改密码策略

modpol -maxlife "90 days" -minlife "75 days" -minlength 8 -minclasses 3 -maxfailure 10 user

说明

kdestroy

删除票据

kinit zhangsan

{需要密码}获取张三的票据

票据有效期使用的是默认值，此处是12小时

kinit -l 1h zhangsan

获取张三的票据，指定过期时间是1小时

过期时间的单位有 s秒 m分钟 h小时 d天

如果时间超过设置最大值，使用最大值

klist

查看票据

Valid starting 生效时间

Expires 过期时间

renew until 在此时间之前都可以免密续期

kinit -R

续期，注意不会改变renew until

客户端的配置文件是 /etc/krb5.conf

Kerberos 凭证(ticket) 有两个属性， ticket_lifetime 和 renew_lifetime。其中 ticket_lifetime 表明凭证生效的时限，一般为24小时。在凭证失效前部分凭证可以延期失效时间(即Renewable)， renew_lifetime 表明凭证最长可以被延期的时限，一般为一个礼拜。当凭证过期之后，对安全认证的服务的后续访问则会失败。

免密登录
#删除票据

kdestroy

######################

#管理票据，进入ktutil

ktutil

添加票据

add_entry -password -p {
    
    用户名} -k 1 -e aes128-cts

add_entry -password -p zhangsan -k 1 -e aes128-cts

会提示输入密码

Password ....

票据保存到文件

write_kt /opt/priv.k

退出 ktutil

q

######################

查看票据

klist -kt /opt/priv.k -e

使用票据授权

kinit -kt /opt/priv.k zhangsan

查看系统票据

klist -e

注意：遇见错误提示

kinit: Key table entry not found while getting initial credentials