kerberos的操作命令(全) 悠悠 2024-03-17 23:34 23阅读 0赞 进入kadmin kadmin.local/kadmin 创建数据库 kdb5_util create -r JENKIN.COM -s 启动kdc服务 service krb5kdc start 启动kadmin服务 service kadmin start 修改当前密码 kpasswd 测试keytab可用性 kinit -k -t /var/kerberos/krb5kdc/keytab/root.keytab root/master1@JENKIN.COM 查看keytab klist -e -k -t /etc/krb5.keytab 清除缓存 kdestroy 通过keytab文件认证登录 kinit -kt /var/run/cloudera-scm-agent/process/***-HIVESERVER2/hive.keytab hive/node2 kadmin模式下: 生成随机key的principal addprinc -randkey root/master1@JENKIN.COM 生成指定key的principal Addprinc -pw **** admin/admin@JENKIN.COM 查看principal listprincs 修改admin/admin的密码 cpw -pw xxxx admin/admin 添加/删除principle addprinc/delprinc admin/admin 直接生成到keytab ktadd -k /etc/krb5.keytab host/master1@JENKIN.COM 设置密码策略(policy) addpol -maxlife "90 days" -minlife "75 days" -minlength 8 -minclasses 3 -maxfailure 10 -history 10 user 添加带有密码策略的用户 addprinc -policy user hello/admin@HADOOP.COM 修改用户的密码策略 modprinc -policy user1 hello/admin@HADOOP.COM 删除密码策略 delpol [-force] user 修改密码策略 modpol -maxlife "90 days" -minlife "75 days" -minlength 8 -minclasses 3 -maxfailure 10 user 说明 kdestroy 删除票据 kinit zhangsan \{需要密码\}获取张三的票据 票据有效期使用的是默认值,此处是12小时 kinit -l 1h zhangsan 获取张三的票据,指定过期时间是1小时 过期时间的单位有 s秒 m分钟 h小时 d天 如果时间超过设置最大值,使用最大值 klist 查看票据 Valid starting 生效时间 Expires 过期时间 renew until 在此时间之前都可以免密续期 kinit -R 续期,注意不会改变renew until 客户端的配置文件是 /etc/krb5.conf Kerberos 凭证(ticket) 有两个属性, ticket\_lifetime 和 renew\_lifetime。其中 ticket\_lifetime 表明凭证生效的时限,一般为24小时。在凭证失效前部分凭证可以延期失效时间(即Renewable), renew\_lifetime 表明凭证最长可以被延期的时限,一般为一个礼拜。当凭证过期之后,对安全认证的服务的后续访问则会失败。 免密登录 \#删除票据 kdestroy \#\#\#\#\#\#\#\#\#\#\#\#\#\#\#\#\#\#\#\#\#\# \#管理票据,进入ktutil ktutil 添加票据 add_entry -password -p { 用户名} -k 1 -e aes128-cts add_entry -password -p zhangsan -k 1 -e aes128-cts 会提示输入密码 Password .... 票据保存到文件 write_kt /opt/priv.k 退出 ktutil q \#\#\#\#\#\#\#\#\#\#\#\#\#\#\#\#\#\#\#\#\#\# 查看票据 klist -kt /opt/priv.k -e 使用票据授权 kinit -kt /opt/priv.k zhangsan 查看系统票据 klist -e 注意:遇见错误提示 kinit: Key table entry not found while getting initial credentials
还没有评论,来说两句吧...