问题标签 [keytab]

我正在尝试在启用 kerberos 的集群上运行 Mirrormaker，该集群源自非现场非 kerberos 集群，并且在启动镜像制造商时出现以下错误。

我的所有关键选项卡都经过验证且有效，我的 server.properties/producer.properties/consumer.properties 设置正确，并且 KDC 也可以访问。防火墙端口配置正确。有没有人遇到过这种类型的错误？

这是我们第一次在启用 kerberos 的集群上使用 mirrormaker，所以我们不知道我们应该得到什么样的输出，或者如何解决这个问题。Mirrormaker 在配置方面似乎非常善变。

任何帮助将不胜感激。

我正在尝试使用 kerberos 集成开发 kafka 客户端应用程序。我必须将此应用程序部署到 PCF 环境。我需要在 jaas.conf 中传递 keytab 文件的绝对路径以进行 kerberos 集成。我将 keytab 文件保存在应用程序的资源文件夹中。问题是 jaas.conf 采用 keytab 文件的绝对路径。那么如何在 PCF 中提供 keytab 文件位置的绝对路径。

按照惯例， Kerberos 密钥表文件位于/etc/krb5/krb5.keytab非用户特定位置。该密钥表（和所有密钥表）可以包含多个条目。

假设一台计算机有三个用户：Alice、Bob 和 Eve。他们每个人都通过以下过程向共享密钥表添加一个条目，但使用各自的名称：

稍后，Alice、Bob 和 Eve 都可以分别使用他们的 keytab 条目来验证脚本，如下所示：

是什么让 Eve 无法在 keytab 中使用 Alice 或 Bob 的条目？我还没有找到任何明确涵盖如何保持具有多个条目的 keytab 安全的内容。如果我们不希望 Eve 使用 Alice 的条目，他们应该有单独的 keytabs 受文件权限保护吗？

或者，这是 Kerberos 信任模型吗？如果他们每个人都可以访问这个 keytab，那么我们隐含地信任他们使用任何条目？我们应该只让受信任的服务共享一个密钥表吗？

提前感谢您的提示。只是想确保我正确理解信任模型。

我想创建 SPN 和 keytab 以包含代理 DNS，以便代理可以将标头转发到后端。我不确定什么是主机、域和领域。有人可以验证它看起来是否正常吗？还是我添加了太多 example.com？

代理的服务器名称配置为 testing.example.com 领域为 example.com

setspn -a HTTP/testing.example.com testinghttp

setspn -a HTTP/testing.example.com.example.com testinghttp

ktpass -princ HTTP/testing.example.com.example.com@example.com -pass 密码 -mapuser example\testinghttp -crypto ALL -ptype KRB5_NT_PRINCIPAL -out d:\temp\key.keytab -kvno 0

我试图在我的 zookeeper-jass.conf 文件中传递 keytab 的值。我正在使用以下代码检索它：

此代码的输出：

2个问题：

1. keyTab 中的冒号被转义。

2. 文件输出流在末尾添加了附加信息，例如（= : 在文件末尾 && 文件顶部的日期），这导致它不起作用。

我需要的格式是

我有一个连接到 Hadoop 配置单元的 Spring Boot 应用程序。使用 Kerberos 身份验证。该设置完美运行。

现在，我正在尝试公开一个执行器端点，它可以告诉我路边票的有效性信息。

为了访问路边票，我尝试了几种方法，经过一些调试，我发现当登录是通过 keytab 时，Hadoop 配置不考虑我提供的 jaas.conf 文件。事实上，它不考虑任何 jaas 配置，即使是来自 env 的配置，除了调试标志。这种实施有什么具体原因吗？我试图强制登录模块以某种方式使用票证缓存。尝试在 conf 文件和环境变量中设置默认缓存名称。由于 Hadoop 配置没有将这些填充到登录选项中，因此Krb5LoginModule该类不使用票证缓存。

我用于 Hadoop 连接的 maven 依赖项是 hadoop-commons，v2.7.0。登录发生通过UserGroupInformation.loginUserFromKeytab

PS：登录账号是系统账号，我的应用在cloud Foundry上运行。因此，本机操作系统登录不是一种选择。

TIA

有人可以帮我解决以下问题吗

假设我有一个 AD 域和一个未加入 AD 域的“独立 Linux 主机”，并且 AD 和 Linux 之间没有任何类型的信任关系。

接下来，我有一个在 Linux 服务器（例如 WEB 服务器或其他应用程序）上运行的 Kerberos 感知应用程序，它是 .

为了让 AD 用户使用 KeyTab 文件（在 Windows 中创建并在 Linux 上设置）对 Linux 托管的 WEB/App 进行身份验证。Linux 主机是否需要加入 AD 才能使 keyTab（单点签名）身份验证工作？

这意味着如果 Linux 服务器从未加入任何类型的域（独立），我是否仍然能够使用 KeyTab 文件来验证来自 AD 域的用户？

谢谢所有查理

我有一个 kerberized 的 hadoop 集群。如何从外部 Java 应用程序连接到它？有人告诉我我需要一个 keytab 和 krb5 conf 文件，但我并不完全清楚。

我想更改一些属性，例如security.protocolfrom SASL_PLAINTEXTto SASL_SSL。但是 Datastage 中的 Kafka 连接器的属性数量非常有限（主机、使用 kerberos、主体名称、keytab、主题名称、消费者组、最大轮询记录、最大消息、重置策略超时和类路径）

在阅读本文档时，首先要做的是传递 JAAS 配置文件。但我的问题是：

1. 我应该把这个文件放在哪里？在 Datastage 或 Kafka 方面？

2. 我怎样才能指向这个文件？

这是我尝试过的：

1. 在 Datastage 中添加了一个before-job subroutine并使用以下命令：

   /li>

2. 在Datastage-Djava.security.auth.login.config=/etc/kafka/kafka_server_jaas.conf的Kafka Client ClasspathKafka 连接器属性中添加了

但无论我做什么，每次我运行作业时，参数security.protocol都保持不变：

这意味着它没有读取属性文件。

你有没有遇到过类似的问题？

我正在尝试使用以下代码连接到 hdfs 并执行一些与文件相关的操作。请注意，我正在尝试从安装了 python3.6 的 Centos7 环境连接 Cloudera HDFS 实例。

我在安装了 python3.6 的 centos-7 环境中运行它[PS：没有安装 hdfs 客户端]。
在我执行代码之前，我已经完成了 pip install 如下

在执行我得到如下

我可能在这里缺少一些配置。这个 keytab 可以很好地与 JAVA 应用程序连接到 hdfs。使用 python 它显示此错误。kinit如果 a) HDFS 客户端需要在执行环境中配置或 b)是需要做的事情，请告知执行上述代码。请注意，我们使用服务 id 通过 keytab 文件连接到 hdfs。