我在不同的网站上寻找上述问题的答案,但在每种情况下都有如何生成keytab文件。我需要keytab来获取包含kerberos身份验证的hbase连接。
sqyvllje1#
为了在windows上生成keytab,您需要运行kerberos的某个版本,该版本与目录服务器进行通信。在windows上,目前最流行的例子是activedirectory,它内置了kerberos支持。您需要在加入到activedirectory域的windows服务器上创建keytab,使用ktpass命令来实际创建keytab。键表生成语法示例:
ktpass -out centos1-dev-local.keytab -mapUser krbCentos@DEV.LOCAL +rndPass -mapOp set +DumpSalt -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -princ HTTP/centos1.dev.local@DEV.LOCAL
上面的命令示例成功地创建了一个keytab,以便在名为dev.local的ad域中使用。注意:注意随机密码语法(+rndpass)的使用。在我看来,没有必要在keytab创建命令语法中指定密码。相反,最好允许密码随机化-这提供了更好的安全性,因为它可以防止任何人都可以手动登录作为广告帐户秘密和绕过密钥表。作为补充参考,我强烈建议您阅读我关于在microsoft technet上的windows平台上创建kerberos keytab的文章,这篇文章对我在这里所说的内容进行了极大的扩展:kerberos keytabs–explained。我经常回去编辑它的基础上,我看到在这个论坛这里的问题。
1条答案
按热度按时间sqyvllje1#
为了在windows上生成keytab,您需要运行kerberos的某个版本,该版本与目录服务器进行通信。在windows上,目前最流行的例子是activedirectory,它内置了kerberos支持。您需要在加入到activedirectory域的windows服务器上创建keytab,使用ktpass命令来实际创建keytab。
键表生成语法示例:
上面的命令示例成功地创建了一个keytab,以便在名为dev.local的ad域中使用。注意:注意随机密码语法(+rndpass)的使用。在我看来,没有必要在keytab创建命令语法中指定密码。相反,最好允许密码随机化-这提供了更好的安全性,因为它可以防止任何人都可以手动登录作为广告帐户秘密和绕过密钥表。
作为补充参考,我强烈建议您阅读我关于在microsoft technet上的windows平台上创建kerberos keytab的文章,这篇文章对我在这里所说的内容进行了极大的扩展:kerberos keytabs–explained。我经常回去编辑它的基础上,我看到在这个论坛这里的问题。