开启 kerberos 后的 kinit 操作

  其他常见问题
内容纲要

概要描述

在开启了 Kerberos 认证的集群里,用户的 keytab 可用于访问集群服务。下面的指令您可以在安装了 Kerberos 的集群中任意一台机器上执行。

详细说明

注意事项:

  1. 在能够使用以下命令前,请确保您按照 准备TDH客户端环境 中的步骤正确安装了TDH-Client。
  2. 请参考 Guardian新建用户、修改用户密码、下载keytab及赋权 来获取 keytab 文件。

获取访问集群中服务的凭证:kinit

  1. 使用密码方式:
kinit {your_principal}

在 {your_principal} 处提供您的 Principal 并在系统提示下输入密码,即可获取一张 ticket。如果您多次登录了不同的 Principal,仅最后一次生效,会覆盖之前的认证权限信息。

举例: Alice 用户获取ticket:

[root@tw-node118 ~]# kinit alice@TDH
Password for alice@TDH:
[root@tw-node118 ~]# kinit alice
Password for alice:
  1. 使用keytab文件:
kinit  -kt

注意:
{}keytab_path} 处提供您 keytab 文件的路径。这个路径可以是绝对路径也可以是相对路径。使用keytab 文件登录,无需输入密码。

举例:Alice 用户通过提供 keyta b获取 ticket:

[root@tw-node118 ~]# kinit alice@TDH -kt /root/alice.keytab

查看凭证: klist

要查看您当前的 session 是否有 ticket 以及 ticket 的有效期,您只需要在命令行执行 klist。

举例:当前session没有ticket:

[root@tw-node118 ~]# klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)

举例:当前session有ticket:

[root@tw-node118 ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: alice@TDH
Valid starting
Expires
11/26/15 19:04:19 11/27/15 05:04:19
renew until 12/03/15 19:04:19
Service principal
krbtgt/TDH@TDH

在这里您可以看到ticket的过期时间,如果根据这个信息当前session中的 ticket 已经过期,您是无法访问服务的。您需要使用 kinit 指令重新获取 ticket。

如果不确定当前使用的是哪个Principal,可以用klist -ket <keytab_path>命令来查看,如:

[root@tw-node1 ~]# klist -ket alice.keytab
Keytab name: FILE:alice.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   1 2018-07-06T11:27:36 alice@TDH (des-cbc-md5)
   1 2018-07-06T11:27:36 alice@TDH (aes256-cts-hmac-sha1-96)
   1 2018-07-06T11:27:36 alice@TDH (des3-cbc-sha1)
   1 2018-07-06T11:27:36 alice@TDH (arcfour-hmac)
   1 2018-07-06T11:27:36 alice@TDH (aes128-cts-hmac-sha1-96)

可以看到当前Principal为alice@TDH,再运行以下命令就可以获取TGT了:

kinit alice@TDH -kt /root/alice.keytab

销毁凭证: kdestroy

当您结束对集群服务的使用,可以用kdestroy指令手动销毁您的ticket,以防别人持您的ticket来使用您的数据和应用。

举例
当前有票据:

[root@tw-node118 ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: alice@TDH
Valid starting
Expires
11/26/15 19:11:31 11/27/15 05:11:31
renew until 12/03/15 19:11:31

销毁后:

[root@tw-node118 ~]# kdestroy
[root@tw-node118 ~]# klist
Service principal
krbtgt/TDH@TDH
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)

当前session没有ticket说明ticket已经被销毁。

这篇文章对您有帮助吗?

平均评分 0 / 5. 次数: 0

尚无评价,您可以第一个评哦!

非常抱歉,这篇文章对您没有帮助.

烦请您告诉我们您的建议与意见,以便我们改进,谢谢您。