问题标签 [keytab]

描述如何连接到 kerberos 安全端点的文档显示以下内容：

该-u标志必须提供，但会被 curl 忽略。

该选项是否--negotiate会导致 curl 查找使用该命令预先创建的密钥表kinit，或者 curl 会提示输入凭据？

如果它查找 keytab 文件，该命令将查找什么文件名？

我长时间使用带有 kerberos 密钥表文件名userid.keytab的 hadoop。但现在我不知道密码。无论如何从keytab文件中获取密码。

我正在按照本教程为 web 应用程序设置 Apache Directory Studio 以开发和测试 kerberos 身份验证（使用 spnego）。我设置了 ldap 和票证授予服务以及一些基本用户帐户。我可以使用用户帐户进行 kinit，因此我知道该部分运行良好。

因此，当前的日志表明它无法解密票证。我尝试将 keytab 文件与 kinit 一起使用，但它不起作用，所以我只是尝试执行 kinit 并手动输入密码 - 这也不起作用（即使在 Apache Directory Studio 中验证密码正确之后） . 这是我用于创建 spn 的 ldif 文件：

每当我执行 akinit -V HTTP/example.com并输入密码时，我都会得到：

这是我的 krb5.conf：

当我尝试使用密钥表文件对 Kerberos 进行身份验证时，我遇到了下面提到的问题。

GSSException：在 GSS-API 级别未指定故障（机制级别：不支持/启用具有 HMAC SHA1-96 的加密类型 AES256CTS 模式）

我已经按照http://spnego.sourceforge.net/pre_flight.html和http://spnego.sourceforge.net/server_keytab.html中提到的步骤来设置完整的环境。

以下是我的conf文件，

krb5.conf

登录.conf

谁能告诉我解决这个问题的方法。

我正在尝试理解 Kerberos 的基本概念。我在这里读到了关于校长的信息，通常看起来像：

我想问到底什么是主、实例和领域。当然，上面的页面和互联网上的其他几个地方都有定义，但是有人可以举个例子吗？

我的理解是：主要是消费者（用户或服务）。实例是用于访问控制的东西。主实例可以是多个实例的一部分。Realm 是实例的集合？如果我错了，请纠正我。

如果我有一个服务器：foo.bar.com
，我可以有 2 个领域：REALM1, REALM2。这些可以这样命名吗？或者我可以在这里只有 1 个领域作为FOO.BAR.COM吗？
现在我说 3 个服务：s1、s2、s3相互交谈。由于启用了 kerberos，他们每个人都必须有一个带有自己的 keytab 文件的主体？或者由于每个服务都在与其他服务通信，每个 keytab 文件是否需要为其他服务提供主体？

我使用 Hortonworks Data Platform 2.5 设置了一个 Hadoop 集群，其中还包括 Ambari 2.4、Kerberos、Spark 1.6.2 和 HDFS。

例如，我有以下用户的 Kerberos 主体和密钥表：

• spark（由 Ambari 在 Kerberos 启用期间创建）
• hdfsuserA（由 kadmin -> add_principle 创建）

用户spark需要spark-submit在安全集群中运行命令，并且 Spark 应用程序必须打开 HDFS 目录中的一些文件/user/hdfsuserA/...，该目录由 hdfsuserA (700) 拥有。

由于我启用了 Kerberos，我的 Spark 应用程序将不再运行，它失败并出现以下异常

问题是，我通过用户身份验证spark才能启动 Spark 应用程序，但在应用程序内部，/user/hdfsuserA由于 spark 用户无法访问 HDFS 目录，因此出现异常。

当我使用用户运行 spark-submit 命令时，hdfsuserA我得到：

这种问题的正确解决方案是什么？我可以kinit为应用程序内的另一个用户提供例如吗？

我构建了一个 Java 应用程序，它通过 ssh 运行命令。在第一次尝试中，我通过用户名和密码进行了身份验证，一切正常。

现在我想使用 Kerberos 密钥表文件进行身份验证，但这会产生问题！

这里对我的配置说几句：

• KDC服务器：my-server.de
• 领域名称：MYREALM.DE
• 密钥表用户名：keytabuser
• KDC = 服务器：运行在CentOS 7
• 我的客户：安装Windows 8.1 (x64)了所有默认配置Kerberos for Windows
• 我在客户端的用户名：Daniel
• kinit -kt ...似乎工作正常，所以keytab文件也应该没问题

到目前为止，我所拥有的是这段代码片段：

这是我的jaas.conf文件：

这里是我的krb5.ini文件：

当我运行这个应用程序时，我得到以下输出：

更新：新 jsch 依赖 0.1.54 后的新控制台输出

我的配置有问题吗？本地（用户、域等）和远程之间是否存在某些条件？

我有一些 AD 用户，它们链接到一个功能组。我的问题是如何在 keytab 命令中提到这个功能组？据我了解，keytab 使用 AD 用户名和密码。还必须在 keytab 命令中提及密码吗？

句法：

ktpass –princ HTTP/@ -mapuser –pass 密码 -crypto all -ptype KRB5_NT_PRINCIPAL –out

我正在尝试连接到在 Cloudera 上运行的 HDFS 实例。我的第一步是启用 Kerberos 并创建 Keytabs（如此处所示）。

在下一步中，我想使用 keytab 进行身份验证。

它失败并出现以下错误

java.io.IOException：从 keytab /etc/hadoop/conf/hdfs.keytab 登录 hdfs@CLOUDERA 失败：javax.security.auth.login.LoginException：无法从用户获取密码

问题是：如何正确处理密钥表？我必须将它复制到我的本地机器吗？

我在不同的网站上寻找上述问题的答案，但在每种情况下都有如何生成 keytab 文件。我需要 keytab 来获取包含 kerberos 身份验证的 hbase 连接。