作者:櫰木
Keytab文件用於在不輸入密碼的情況下對主體(用户或服務)進行身份驗證。以下是創建Kerberos身份驗證的步驟。
1、創建keytab文件
除了使用明文密碼登錄之外,Kerberos還可以使用keytab密碼文件登陸,現在為testcuser創建它的keytab文件
ipa-getkeytab -s ipa.hdp.hadoop -p testcuser@HDP.HADOOP -k testcuser.keytab這樣就在當前執行目錄下生成了testcuser.keytab文件
通過此keytab文件登陸
和使用明文密碼一樣,通過keytab文件一樣可以登陸,並且這種方式更加安全
2、 添加DNS記錄
安裝客户端後,出現找不到dns的錯誤,需要手動添加。
ipa dnsrecord-add
ipa dnsrecord-add dtstack.com hd3 --a-ip-address=172.16.107.1273、創建生成服務keytab的用户(如zookeeper.keytab)
登錄freeipa的webui
創建apache-user用户
創建apache-role角色
添加以下兩個特權
添加用户到此角色
添加用户後,需要進行第一次kinit認證,並會提示修改默認密碼
kinit apache-user生成keytab到/data/kerberos/apache-user.keytab目錄下
ipa-getkeytab -s hd.dtstack.com -p apache-user@DTSTACK.COM -k /data/kerberos/apache-user.keytab驗證Keytab身份驗證,
kinit apache-user@DTSTACK.COM -kt /data/kerberos/apache-user.keytab 驗證是否能夠認證成功該命令測試使用生成的Keytab進行身份驗證是否成功。
更多技術信息請查看雲掣官網https://yunche.pro/?t=yrgw
