问题标签 [keytab]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
hadoop - 将 --negotiate 与 curl 一起使用时,是否需要 keytab 文件?
描述如何连接到 kerberos 安全端点的文档显示以下内容:
该-u
标志必须提供,但会被 curl 忽略。
该选项是否--negotiate
会导致 curl 查找使用该命令预先创建的密钥表kinit
,或者 curl 会提示输入凭据?
如果它查找 keytab 文件,该命令将查找什么文件名?
hadoop - 从 kerberos 密钥表文件中检索密码
我长时间使用带有 kerberos 密钥表文件名userid.keytab的 hadoop。但现在我不知道密码。无论如何从keytab文件中获取密码。
kerberos - 为什么我不能使用 SPN 执行 kinit?
我正在按照本教程为 web 应用程序设置 Apache Directory Studio 以开发和测试 kerberos 身份验证(使用 spnego)。我设置了 ldap 和票证授予服务以及一些基本用户帐户。我可以使用用户帐户进行 kinit,因此我知道该部分运行良好。
因此,当前的日志表明它无法解密票证。我尝试将 keytab 文件与 kinit 一起使用,但它不起作用,所以我只是尝试执行 kinit 并手动输入密码 - 这也不起作用(即使在 Apache Directory Studio 中验证密码正确之后) . 这是我用于创建 spn 的 ldif 文件:
每当我执行 akinit -V HTTP/example.com
并输入密码时,我都会得到:
这是我的 krb5.conf:
java - GSSException:在 GSS-API 处未指定失败(机制级别:不支持/启用具有 HMAC SHA1-96 的加密类型 AES256CTS 模式)使用 spnego
当我尝试使用密钥表文件对 Kerberos 进行身份验证时,我遇到了下面提到的问题。
GSSException:在 GSS-API 级别未指定故障(机制级别:不支持/启用具有 HMAC SHA1-96 的加密类型 AES256CTS 模式)
我已经按照http://spnego.sourceforge.net/pre_flight.html和http://spnego.sourceforge.net/server_keytab.html中提到的步骤来设置完整的环境。
以下是我的conf文件,
krb5.conf
登录.conf
谁能告诉我解决这个问题的方法。
authentication - 了解 Kerberos 主体
我正在尝试理解 Kerberos 的基本概念。我在这里读到了关于校长的信息,通常看起来像:
我想问到底什么是主、实例和领域。当然,上面的页面和互联网上的其他几个地方都有定义,但是有人可以举个例子吗?
我的理解是:主要是消费者(用户或服务)。实例是用于访问控制的东西。主实例可以是多个实例的一部分。Realm 是实例的集合?如果我错了,请纠正我。
如果我有一个服务器:foo.bar.com
,我可以有 2 个领域:REALM1, REALM2。这些可以这样命名吗?或者我可以在这里只有 1 个领域作为FOO.BAR.COM吗?
现在我说 3 个服务:s1、s2、s3相互交谈。由于启用了 kerberos,他们每个人都必须有一个带有自己的 keytab 文件的主体?或者由于每个服务都在与其他服务通信,每个 keytab 文件是否需要为其他服务提供主体?
hadoop - 在 Kerberized 集群中的 Spark 应用程序中读取 HDFS 文件
我使用 Hortonworks Data Platform 2.5 设置了一个 Hadoop 集群,其中还包括 Ambari 2.4、Kerberos、Spark 1.6.2 和 HDFS。
例如,我有以下用户的 Kerberos 主体和密钥表:
- spark(由 Ambari 在 Kerberos 启用期间创建)
- hdfsuserA(由 kadmin -> add_principle 创建)
用户spark
需要spark-submit
在安全集群中运行命令,并且 Spark 应用程序必须打开 HDFS 目录中的一些文件/user/hdfsuserA/...
,该目录由 hdfsuserA (700) 拥有。
由于我启用了 Kerberos,我的 Spark 应用程序将不再运行,它失败并出现以下异常
问题是,我通过用户身份验证spark
才能启动 Spark 应用程序,但在应用程序内部,/user/hdfsuserA
由于 spark 用户无法访问 HDFS 目录,因此出现异常。
当我使用用户运行 spark-submit 命令时,hdfsuserA
我得到:
这种问题的正确解决方案是什么?我可以kinit
为应用程序内的另一个用户提供例如吗?
ssh - JSch 无法通过 Kerberos 密钥表文件连接
我构建了一个 Java 应用程序,它通过 ssh 运行命令。在第一次尝试中,我通过用户名和密码进行了身份验证,一切正常。
现在我想使用 Kerberos 密钥表文件进行身份验证,但这会产生问题!
这里对我的配置说几句:
- KDC服务器:
my-server.de
- 领域名称:
MYREALM.DE
- 密钥表用户名:
keytabuser
- KDC = 服务器:运行在
CentOS 7
- 我的客户:安装
Windows 8.1 (x64)
了所有默认配置Kerberos for Windows
- 我在客户端的用户名:
Daniel
kinit -kt ...
似乎工作正常,所以keytab文件也应该没问题
到目前为止,我所拥有的是这段代码片段:
这是我的jaas.conf
文件:
这里是我的krb5.ini
文件:
当我运行这个应用程序时,我得到以下输出:
更新:新 jsch 依赖 0.1.54 后的新控制台输出
我的配置有问题吗?本地(用户、域等)和远程之间是否存在某些条件?
weblogic - kerberos 身份验证-功能组
我有一些 AD 用户,它们链接到一个功能组。我的问题是如何在 keytab 命令中提到这个功能组?据我了解,keytab 使用 AD 用户名和密码。还必须在 keytab 命令中提及密码吗?
句法:
ktpass –princ HTTP/@ -mapuser –pass 密码 -crypto all -ptype KRB5_NT_PRINCIPAL –out
java - 使用 Java 和 Kerberos Keytab 从 Windows 访问 Cloudera 上的 HDFS
我正在尝试连接到在 Cloudera 上运行的 HDFS 实例。我的第一步是启用 Kerberos 并创建 Keytabs(如此处所示)。
在下一步中,我想使用 keytab 进行身份验证。
它失败并出现以下错误
java.io.IOException:从 keytab /etc/hadoop/conf/hdfs.keytab 登录 hdfs@CLOUDERA 失败:javax.security.auth.login.LoginException:无法从用户获取密码
问题是:如何正确处理密钥表?我必须将它复制到我的本地机器吗?
windows - 在 Windows 上生成 kerberos 密钥表文件需要什么?
我在不同的网站上寻找上述问题的答案,但在每种情况下都有如何生成 keytab 文件。我需要 keytab 来获取包含 kerberos 身份验证的 hbase 连接。