Kerberos ticket lifetime及其它
前言
以前的博文中涉及到了Kerberos的内容,这里对Kerberos ticket lifetime相关的内容作一个补充。java
ticket lifetime
Kerberos ticket具备lifetime,超过此时间则ticket就会过时,须要从新申请或renew。ticket lifetime取决于如下5项设置中的最小值:程序员
- Kerberos server上/var/kerberos/krb5kdc/kdc.conf中max_life
- 内置principal krbtgt的maximum ticket life,可在kadmin命令行下用getprinc命令查看
- 你的principal的maximum ticket life,可在kadmin命令行下用getprinc命令查看
- Kerberos client上/etc/krb5.conf的ticket_lifetime
- kinit -l 参数后面指定的时间
ticket renew lifetime
ticket过时后,若是想延长,一种方法是从新申请(须要输入密码),另外一种是renew(不须要输入密码),每renew一次,就延长一个lifetime。不过renew操做自己也有lifetime,即在ticket renew lifetime,在此lifetime以内,才能进行renew操做。与上面的很类似,ticket renew lifetime取决于如下5项设置中的最小值:apache
- Kerberos server上/var/kerberos/krb5kdc/kdc.conf中max_renewable_life
- 内置principal krbtgt的maximum renewable life,可在kadmin命令行下用getprinc命令查看
- 你的principal的maximum renewable life,可在kadmin命令行下用getprinc命令查看
- Kerberos client上/etc/krb5.conf的renew_lifetime
- kinit -r 参数后面指定的时间
HBase与ticket lifetime
HBase须要长时间运行,它对ticket过时问题的处理见org.apache.hadoop.hbase.ipc.RpcClient,方法handleSaslConnectionFailure(),方法注释中提到HBase是尝试自动relogin,从代码上看应该是直接获取一个新的ticket,而不是进行renew。less
The other problem is to do with ticket expiry. To handle that, a relogin is attempted.
The retry logic is governed by the shouldAuthenticateOverKrb method. In case when the user doesn't have valid credentials, we don't need to retry (from cache or ticket). In such cases, it is prudent to throw a runtime exception when we receive a SaslException from the underlying authentication implementation, so there is no retry from other high level (for eg, HCM or HBaseAdmin).dom
另外: maven
[org.apache.hadoop.security.UserGroupInformation] Not attempting to re-login since the last re-login was attempted less than 600 seconds before. oop
这个错误实际是因为UserGroupInformation中的一个hard code值引发的,MIN_TIME_BEFORE_RELOGIN=10*60*1000L,是hadoop本身作出的限制,即不容许过于频繁地relogin,须要将ticket_lifetime设置为大于10分钟便可。大数据
keytab与ticket lifetime
keytab文件实际只是一个密码文件,显然,修改lifetime相关设置跟密码是没有关系的,不须要去从新生成现有的keytab文件。spa
一些命令
- kadmin: modprinc -maxrenewlife 11days +allow_renewable {principal}
- kadmin: modprinc -maxlife 6minutes {principal}
- kadmin: getprinc {principal} //retrieve the detail info of principal
- kinit -R //renew current ticket
- kinit {principal} -kt {keytab file} //init a principal via keytab file
送书了,送书了,关注公众号“程序员杂书馆”,就送出O'Reilly《Spark快速大数据分析》纸质书(亦有一批PDF分享)! —— 2018年12月命令行
 |
|
- 1. Kerberos Ticket管理
- 2. CLIENT_0004:Unable to find valid Kerberos ticket cache (kinit)
- 3. hue启动报Kerberos Ticket Renewer已停止
- 4. HDP kt_renewer ERROR Couldn‘t renew kerberos ticket in order to work around Kerberos 1.8.1 issu
- 5. KERBEROS PROTOCOL TUTORIAL
- 6. Kerberos
- 7. kerberos原理及流程
- 8. Kerberos验证过程
- 9. 算法、技术及其它
- 10. 安全性及其它
- 更多相关文章...
- • 其他 W3C 活动 - W3C 教程
- • Redis哨兵(Sentinel)模式的配置方法及其在Java中的用法 - Redis教程
- • Flink 数据传输及反压详解
- • Docker容器实战(一) - 封神Server端技术
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 外部其他进程嵌入到qt FindWindow获得窗口句柄 报错无法链接的外部符号 [email protected] 无法被([email protected]@[email protected]@@引用
- 2. UVa 11524 - InCircle
- 3. The Monocycle(bfs)
- 4. VEC-C滑窗
- 5. 堆排序的应用-TOPK问题
- 6. 实例演示ElasticSearch索引查询term,match,match_phase,query_string之间的区别
- 7. 数学基础知识 集合
- 8. amazeUI 复择框问题解决
- 9. 背包问题理解
- 10. 算数平均-几何平均不等式的证明,从麦克劳林到柯西
- 1. Kerberos Ticket管理
- 2. CLIENT_0004:Unable to find valid Kerberos ticket cache (kinit)
- 3. hue启动报Kerberos Ticket Renewer已停止
- 4. HDP kt_renewer ERROR Couldn‘t renew kerberos ticket in order to work around Kerberos 1.8.1 issu
- 5. KERBEROS PROTOCOL TUTORIAL
- 6. Kerberos
- 7. kerberos原理及流程
- 8. Kerberos验证过程
- 9. 算法、技术及其它
- 10. 安全性及其它