问题标签 [keytab]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
kerberos - Kerberos + GSSAPI +SASL_PLAINTEXT 的 Mirrormaker 问题
我正在尝试在启用 kerberos 的集群上运行 Mirrormaker,该集群源自非现场非 kerberos 集群,并且在启动镜像制造商时出现以下错误。
我的所有关键选项卡都经过验证且有效,我的 server.properties/producer.properties/consumer.properties 设置正确,并且 KDC 也可以访问。防火墙端口配置正确。有没有人遇到过这种类型的错误?
这是我们第一次在启用 kerberos 的集群上使用 mirrormaker,所以我们不知道我们应该得到什么样的输出,或者如何解决这个问题。Mirrormaker 在配置方面似乎非常善变。
任何帮助将不胜感激。
kerberos - 如何将 keytab 文件传递给正在部署在 pcf 上的应用程序
我正在尝试使用 kerberos 集成开发 kafka 客户端应用程序。我必须将此应用程序部署到 PCF 环境。我需要在 jaas.conf 中传递 keytab 文件的绝对路径以进行 kerberos 集成。我将 keytab 文件保存在应用程序的资源文件夹中。问题是 jaas.conf 采用 keytab 文件的绝对路径。那么如何在 PCF 中提供 keytab 文件位置的绝对路径。
security - 如果 Kerberos 密钥表有多个条目,如何防止错误的人使用一个条目?
按照惯例, Kerberos 密钥表文件位于/etc/krb5/krb5.keytab
非用户特定位置。该密钥表(和所有密钥表)可以包含多个条目。
假设一台计算机有三个用户:Alice、Bob 和 Eve。他们每个人都通过以下过程向共享密钥表添加一个条目,但使用各自的名称:
稍后,Alice、Bob 和 Eve 都可以分别使用他们的 keytab 条目来验证脚本,如下所示:
是什么让 Eve 无法在 keytab 中使用 Alice 或 Bob 的条目?我还没有找到任何明确涵盖如何保持具有多个条目的 keytab 安全的内容。如果我们不希望 Eve 使用 Alice 的条目,他们应该有单独的 keytabs 受文件权限保护吗?
或者,这是 Kerberos 信任模型吗?如果他们每个人都可以访问这个 keytab,那么我们隐含地信任他们使用任何条目?我们应该只让受信任的服务共享一个密钥表吗?
提前感谢您的提示。只是想确保我正确理解信任模型。
proxy - Kerberos 创建 spn 和 keytab 以包含代理 DNS
我想创建 SPN 和 keytab 以包含代理 DNS,以便代理可以将标头转发到后端。我不确定什么是主机、域和领域。有人可以验证它看起来是否正常吗?还是我添加了太多 example.com?
代理的服务器名称配置为 testing.example.com 领域为 example.com
setspn -a HTTP/testing.example.com testinghttp
setspn -a HTTP/testing.example.com.example.com testinghttp
ktpass -princ HTTP/testing.example.com.example.com@example.com -pass 密码 -mapuser example\testinghttp -crypto ALL -ptype KRB5_NT_PRINCIPAL -out d:\temp\key.keytab -kvno 0
java - 以编程方式传递 keytab 位置失败(Kafka / Kerberos)
我试图在我的 zookeeper-jass.conf 文件中传递 keytab 的值。我正在使用以下代码检索它:
此代码的输出:
2个问题:
keyTab 中的冒号被转义。
文件输出流在末尾添加了附加信息,例如(= : 在文件末尾 && 文件顶部的日期),这导致它不起作用。
我需要的格式是
hadoop - Hadoop keytab 身份验证不考虑 jaas 配置
我有一个连接到 Hadoop 配置单元的 Spring Boot 应用程序。使用 Kerberos 身份验证。该设置完美运行。
现在,我正在尝试公开一个执行器端点,它可以告诉我路边票的有效性信息。
为了访问路边票,我尝试了几种方法,经过一些调试,我发现当登录是通过 keytab 时,Hadoop 配置不考虑我提供的 jaas.conf 文件。事实上,它不考虑任何 jaas 配置,即使是来自 env 的配置,除了调试标志。这种实施有什么具体原因吗?我试图强制登录模块以某种方式使用票证缓存。尝试在 conf 文件和环境变量中设置默认缓存名称。由于 Hadoop 配置没有将这些填充到登录选项中,因此Krb5LoginModule
该类不使用票证缓存。
我用于 Hadoop 连接的 maven 依赖项是 hadoop-commons,v2.7.0。登录发生通过UserGroupInformation.loginUserFromKeytab
PS:登录账号是系统账号,我的应用在cloud Foundry上运行。因此,本机操作系统登录不是一种选择。
TIA
kerberos - 关于使用 KeyTab 文件向 Linux WEB 服务器(或在 Linux 上运行的任何其他应用程序)验证 Active Directory 用户的问题
有人可以帮我解决以下问题吗
假设我有一个 AD 域和一个未加入 AD 域的“独立 Linux 主机”,并且 AD 和 Linux 之间没有任何类型的信任关系。
接下来,我有一个在 Linux 服务器(例如 WEB 服务器或其他应用程序)上运行的 Kerberos 感知应用程序,它是 .
为了让 AD 用户使用 KeyTab 文件(在 Windows 中创建并在 Linux 上设置)对 Linux 托管的 WEB/App 进行身份验证。Linux 主机是否需要加入 AD 才能使 keyTab(单点签名)身份验证工作?
这意味着如果 Linux 服务器从未加入任何类型的域(独立),我是否仍然能够使用 KeyTab 文件来验证来自 AD 域的用户?
谢谢所有查理
kerberos - 如何连接到受 kerberos 保护的集群?
我有一个 kerberized 的 hadoop 集群。如何从外部 Java 应用程序连接到它?有人告诉我我需要一个 keytab 和 krb5 conf 文件,但我并不完全清楚。
ssl - 使用 Kafka 连接器时,我可以在哪里传递 Datastage 中的属性文件
我想更改一些属性,例如security.protocol
from SASL_PLAINTEXT
to SASL_SSL
。但是 Datastage 中的 Kafka 连接器的属性数量非常有限(主机、使用 kerberos、主体名称、keytab、主题名称、消费者组、最大轮询记录、最大消息、重置策略超时和类路径)
在阅读本文档时,首先要做的是传递 JAAS 配置文件。但我的问题是:
我应该把这个文件放在哪里?在 Datastage 或 Kafka 方面?
我怎样才能指向这个文件?
这是我尝试过的:
在 Datastage 中添加了一个
/li>before-job subroutine
并使用以下命令:在Datastage
-Djava.security.auth.login.config=/etc/kafka/kafka_server_jaas.conf
的Kafka Client Classpath
Kafka 连接器属性中添加了
但无论我做什么,每次我运行作业时,参数security.protocol
都保持不变:
这意味着它没有读取属性文件。
你有没有遇到过类似的问题?
python-3.x - 使用 Python3.6 使用 serviceID 的 keytab 连接到 HDFS
我正在尝试使用以下代码连接到 hdfs 并执行一些与文件相关的操作。请注意,我正在尝试从安装了 python3.6 的 Centos7 环境连接 Cloudera HDFS 实例。
我在安装了 python3.6 的 centos-7 环境中运行它[PS:没有安装 hdfs 客户端]。
在我执行代码之前,我已经完成了 pip install 如下
在执行我得到如下
我可能在这里缺少一些配置。这个 keytab 可以很好地与 JAVA 应用程序连接到 hdfs。使用 python 它显示此错误。kinit
如果 a) HDFS 客户端需要在执行环境中配置或 b)是需要做的事情,请告知执行上述代码。请注意,我们使用服务 id 通过 keytab 文件连接到 hdfs。