Kerberos:kadmin 无法正常工作

Posted

技术标签:

【中文标题】Kerberos:kadmin 无法正常工作【英文标题】:Kerberos: kadmin not working properly 【发布时间】:2014-05-21 09:41:20 【问题描述】:

我在让我的 kadmin 工作时遇到了一些麻烦。 kadmin.local 中的一切都很好,但是每当我使用 kadmin 时,它似乎正在使用 kadm5.acl 文件,但不是。

我在这个文件中有: $ cat /var/kerberos/krb5kdc/kadm5.acl

 */admin@HADOOP.COM *

kadmin 可以正确连接到 kdc 服务器,并且 dns 查找和反向 dns 也可以正常工作。

我的 krb5.conf 是这样的: $ cat /var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]
    kdc_ports = 750,88

[realms]
    HADOOP.COM = 
        admin_keytab = FILE: /var/kerberos/krb5kdc/kadm5.keytab
        kadmind_port = 749
        kdc_ports = 750,88
        max_life = 10h 0m 0s
        max_renewable_life = 7d 0h 0m 0s
        database_name = /var/kerberos/krb5kdc/principal
        acl_file = /var/kerberos/krb5kdc/kadm5.acl
        #key_stash_file = /var/kerberos/krb5kdc/.k5.HADOOP.COM

和$ cat /etc/krb5.conf

[logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log

[libdefaults]  
    default_realm = HADOOP.COM
    dns_lookup_realm = false 
    dns_lookup_kdc = false
    ticket_lifetime = 24h
    forwardable = yes

[realms]
    HADOOP.COM = 
    kdc = evl2400469.eu.verio.net:88  
    admin_server = evl2400469.eu.verio.net:749
    default_domain = hadoop.com 


[domain_realm]
    .hadoop.com = HADOOP.COM
    hadoop.com = HADOOP.COM

因此,当我尝试执行添加主体或获取主体列表等操作时,我得到: kadmin: listprincs get_principals:检索列表时操作需要“列表”权限。 kadmin: 获取权限 当前权限:GET ADD MODIFY DELETE

我真的不知道我的配置哪里出了问题。

我什至尝试在使用 kadmin 控制台之前获得一张票: $ klist

Ticket cache: FILE:/tmp/krb5cc_0 Default principal:
 kadmin/admin@HADOOP.COM

 Valid starting     Expires            Service principal 05/21/14
 10:13:34  05/21/14 13:13:34  krbtgt/HADOOP.COM@HADOOP.COM
         renew until 05/22/14 10:13:34


 Kerberos 4 ticket cache: /tmp/tkt0 klist: You have no tickets cached

非常感谢您的帮助:)

【问题讨论】:

【参考方案1】:

尝试使用编辑/var/kerberos/krb5kdc/kadm5.acl

*/admin@HADOOP.COM   *

kadmind 守护进程需要重新启动才能使 ACL 文件中的更改生效:

service kadmind restart

【讨论】:

稍微解释一下对这个答案会有很大帮助。它还有助于格式化代码的可读性。格式语法见***.com/editing-help。 从那以后我没有更新我的服务器,所以我无法测试解决方案。我确信我有正确的 ACL,但在这里写错了。无论如何,我同意如果是这样的话它会解决它,但我无法验证解决方案。

以上是关于Kerberos:kadmin 无法正常工作的主要内容,如果未能解决你的问题,请参考以下文章

Kafka Kerberos 安全认证

presto集成kerberos以及访问集成了kerberos的hive集群

LDAP/SASL/GSSAPI/Kerberos编程API--krb5客户端

Kerberos学习

spark集成kerberos

Kerberos无法使用Chrome