在此线程中,我想了解一些有关kerberos和kerberized hadoop(但是最多kerberos)的知识。 我已经阅读了很多材料,但是似乎仍然很神秘。
首先,
1.1 键表类似于从主体(用户名)到其密码的映射,它可以包含许多映射。我说的对吗?
1.2 是什么票?是(使用TGS密码加密(会话密钥+主体))还是
[(使用TGS密码加密(会话密钥+主体))+(使用用户密码解密的会话密钥)]
2。。让我们检查一下:
[user@host] klist
klist: No credentials cache found (filename: /tmp/krb5cc_1000)
[user@host] klist -s
[user@host] echo $?
1
2.1 什么是凭证缓存?票务寄存?我知道它可以存储TGT。但是,它还可以存储TGS来提供某些服务吗?
2.2 为什么klist -s
只得到-s
?为什么不需要校长?这是否意味着委托人没有关系?
3。
[user@host] kinit some_principal@REALM -kt /tmp/keytab
[user@host] klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: some_principal@REALM
Valid starting Expires Service principal
01/31/2019 12:48:25 02/01/2019 12:48:25 krbtgt/REALM@REALM
[user@host] klist -s
[user@host] echo $?
0
3.1 为什么使用默认主体?是谁决定的?
3.2 ,这是否意味着HDFS客户端可以随意使用此票证?为什么?毕竟,使用此TGT要求了解此特定主体的密码(keytab)。
3.3 krbtgt/REALMM@REALM
是指服务票krbtgt/REALMM@REALM
,是吗?但是,它属于某些特殊的主体(用户),是吗?
因此,使用该票证的客户必须知道此主体的密钥表(密码),是吗?换句话说,用偷票进行攻击是可能的。
3.4 我可以配置HDFS客户端使用某些主体吗? get some ticket, start HDFS client and enjoy
似乎很神奇。