个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
32
4
由于关键字如 Kerberos "renew until"auto,没有找到可以解决我的问题的线程,所以在这里发帖。
我创建了一个 key 表,其中包含以下票据生命周期信息
Valid starting: 09/14/2018 13:05:01
Expires: 09/15/2018 13:05:01
renew until: 09/19/2018 09:26:37
基于 Hadoop kerberos ticket auto renew
我可以毫无问题地续签延长Expires 日期的票证。
现在另一个问题是renew until设置为7天后过期。
我的问题:
哪个命令类似于kinit -R 可以自动延长renew until 日期,这样我就不需要重新发出kinit -kt 我的了。 keytab my-principal 用于为我的 keytab 获取新票证?
或者有什么API可以达到同样的效果?使用以下 Hadoop API,基于 https://www.cloudera.com/documentation/enterprise/5-14-x/topics/sg_kerberos_troubleshoot.html ,我可以执行代码,但我找不到 renew until gets updated。
UserGroupInformation.loginUserFromKeytab(principal, keyPath)
val currentUser = UserGroupInformation.getCurrentUser()
currentUser.checkTGTAndReloginFromKeytab
val currentUser1 = UserGroupInformation.getLoginUser
currentUser1.checkTGTAndReloginFromKeytab`
klist 显示 renew until 部分中的日期保持不变。
编辑:格式化
最佳答案
可再生 TGT
当票证可更新时, session key 会定期刷新,而不会发出全新的票证。如果 Kerberos 策略允许可更新票证,KDC 会在它发出的每张票证中设置一个 RENEWABLE 标志,并在票证中设置两个到期时间。一个过期时间限制了ticket当前实例的生命周期;第二个到期时间设置了票证所有实例的累积生命周期限制。
票证当前实例的到期时间保存在“结束时间”字段中。对于不可更新的票证,结束时间字段中的值等于开始时间字段中的值加上 Kerberos 策略指定的最长票证生命周期的值。持有可更新票证的客户必须在到达结束时间之前将其发送给 KDC 以进行更新——同时出示新的 validator 。当 KDC 收到更新票证时,它会检查 Renew Till 字段中保存的第二个到期时间的值。该值是在首次发行票据时设置的。它等于票证开始时间字段中的值加上 Kerberos 策略指定的最长累积票证生命周期的值。当 KDC 更新票据时,它会检查以确定 renew-till 时间是否尚未到来。如果没有,KDC 会发出一个新的票据实例,其中包含一个较晚的结束时间和一个新的 session key 。
这意味着管理员可以设置 Kerberos 策略,以便必须以相对较短的间隔(例如每天)更新票证。更新票据时,将发布一个新的 session key ,从而最大限度地减少受损 key 的值(value)。管理员还可以将累积票证生命周期设置为相对较长的时间——例如一周或一个月。在该时间结束时,票证将过期并且不再有效以进行续订。
所以更新 - until 是票证的一部分,并且出于安全原因,它的最大值在服务器端受到限制。设计上没有解决方法。
关于java - "renew until"的 Kerberos 自动更新,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52333257/
32
4
0
我已经开始配置 kerberos。 谁能解释我们在 krb5.conf 文件中设置的票证生命周期和更新生命周期。 ticket_lifetime = 2d renew_lifetime = 7d 是
kerberos 只加密身份验证过程还是所有客户端通信? 我的印象是它就像 LAN 的 VPN。 以便所有 LAN 通信都被加密。就像所有互联网通信都通过 VPN 加密一样。 问候奥布里 最佳答案 K
我试图弄清楚kerberos身份验证是如何工作的,但我发现的信息总是缺少一些东西,就好像其中的一部分被认为是理所当然的。我大致了解该过程,但缺少一些细节。 获取 TGT: 首先,用户应从 KDC 获取
是否可以进行可选的 kerberos 身份验证? 我想要的是:如果客户端(浏览器)不在域中,它被重定向到用户名/密码网络登录。否则它会做 SPNEGO 做 Kerberos 认证。 有什么解决办法吗?
目前正在寻找使用 AD 的联合服务器。首先想到的是使用 ADFS 来管理跨域和领域的服务请求。也就是说,应用程序必须有权访问特定用例的 Kerberos 票证。 AD FS 是否在任何时候使用 Ker
我们想通过 Polybase 将我们的 SQL Server 2016 Enterprise 与我们的 Kerberized OnPrem Hadoop-Cluster 和 Cloudera 5.14
哪个性能测试工具支持带有 Kerberos 身份验证的网页? 仅仅回退到 NTLM 的工具是不够的。 最佳答案 我做了一些研究,可用工具列表是: Visual Studio 2010 Load tes
据我了解, SPN 是 Windows 服务的身份验证工具。 Kerberos 是一个用户认证服务 SPNEGO-GSSAPI 是第三方 API能够使用这些服务。 SSPI:是发送的中立层从 SPNE
我知道中央身份验证服务(CAS)和Kerberos都可以用于对建立 session 进行身份验证。这两种协议(protocol)至少涉及三方,并且将创建票证授予票证持续时间身份验证,那么CAS之间有哪
是否可以进行可选的 kerberos 身份验证? 我想要的是:如果客户端(浏览器)不在域上,它将被重定向到用户名/密码 Web 登录。否则它将执行 SPNEGO 执行 Kerberos 身份验证。 如
在我的 Kerberos 系统中: 运行 kinit test并输入 passwd ,成功。 通过 kadmin.local -q "xst -k test.keytab test" 生成 key 表
如何从 NIFI 连接到启用 Kerberos 的 Kudu? 我只看到一个处理器可以访问 Kudu - PutKUDU 并且它不支持 Kerberos。我没有在网上看到任何有关使用 Kerberos
我正在处理与数据库的 kerberized 连接。我想我了解kerberization的基础知识。用户请求KDC的“Authentication Server”部分获取TGT(Ticket Grant
情况如下: 我在 Windows 7 上使用 MIT Kerberos 客户端 kfw 4.0.1 执行此操作。我正在通过 OpenVPN 连接到使用 Kerberos 5 保护的 YARN 集群。这
我在我的机器上使用 MIT kerberos 5 对用户进行身份验证。这会将票证授予用户。我想将票的 maxlife 重置超过 24 小时。默认情况下,kerberos 票证的最长生命周期为 24 小
我最近提出了一个问题,涉及我在让 MIT Kerberos 与 Microsoft 的 LSA 凭据缓存良好配合时遇到的一些问题。 有人告诉我,设置注册表项 AllowTGTSessionKey 应该
我确实有一个具有 KERBEROS 安全性的 Hadoop 集群和另一个没有 KERBEROS 的 Hadoop 集群。 我可以将文件从 KERBEROS hadoop 集群复制到非 KERBEROS
这来自 Kerberos 示例应用程序,位于 https://github.com/spring-projects/spring-security-kerberos/tree/master/sprin
我正在尝试在启用 Kerberos 身份验证的安全模式下设置单节点 Hadoop 集群,使用 hadoop-2.4.0和 jdk1.7.0_25 . 为此,我按照文档中的描述创建了 key 表文件。在
最近使用 Kerberos 安装 samba 共享停止工作。在另一台服务器上具有相同挂载选项的相同共享有效。所以我假设我们的 DNS 设置和/或 Active Directory 设置没有任何问题。似
我是一名优秀的程序员,十分优秀!