Что такое kinit linux

Обновлено: 21.11.2024

kinit — это утилита, позволяющая получать и кэшировать билеты на выдачу билетов Kerberos.

После этого вы можете убедиться, что конфигурация Kerberos исправна и работает аутентификация.

Статьи по теме

Начало работы

Собственное имя пользователя

kinit предполагает, что вам нужны билеты для вашего собственного имени пользователя в вашей области по умолчанию.

Кто-то еще

В гостях у друга Дэвида, и он хочет одолжить окно, чтобы проверить свою почту. Дэвиду нужны билеты для себя в своем мире.

С файлом keytab

Операционная система

Линукс

Окна

Поддержка

KDC не поддерживает тип шифрования

Обычно ошибка «KDC не поддерживает тип шифрования» связана не с самим типом шифрования, а с доступом к учетным данным (например, с неверным хостом контроллера домена, …). Это очень вводящее в заблуждение сообщение об ошибке.

Запись ключевой таблицы не найдена

"Запись в таблице ключей не найдена" означает, что клиент предоставил сервисный билет, содержимое которого не соответствует ничему в файле keytab сервера.

В этом сценарии наиболее вероятная причина заключается в следующем:

Рекомендуемые страницы

Kerberos — (Билет|Учетные данные)

Учетные данные Kerberos, или «тикеты», — это учетные данные в Kerberos. KDC выдает только два разных типа билетов. Билет на выдачу билетов (TGT). Первый полученный билет: ".

Kerberos — аутентификация

в Kerberos KDC — это служба, отвечающая за аутентификацию пользователей при использовании Kerberos. Статьи по теме Управление См.

Керберос — Windows

Управление Kerberos в Windows Статьи Связанное программное обеспечение MIT — установка и настройка Java Следующие инструменты получают, составляют список и управляют билетами Kerberos в Windows: kinit: вы используете kinit ".

OBIEE 11G — аутентификация SSO с помощью встроенной аутентификации Windows (WNA)

В этой статье будет рассмотрена проверка подлинности единого входа с помощью встроенной проверки подлинности Windows (WNA) и kerberos. Статьи, связанные с этим Предварительные требования Weblogic находится на компьютерах Unix. Архитектура StepsKerberos Ke ".

kinit — kinit используется для получения и кэширования билетов на выдачу билетов Kerberos. Этот инструмент аналогичен по функциональности инструменту kinit, который обычно используется в других реализациях Kerberos, таких как реализации SEAM и MIT Reference.

Использование должно быть зарегистрировано в качестве принципала в Центре распространения ключей (KDC) перед запуском kinit.

По умолчанию для всех платформ Unix создается файл кеша с именем /tmp/krb5cc_. является идентификационным номером пользователя, вошедшего в систему. Для всех других платформ будет создан файл кеша с именем /krb5cc_.

получается из свойства java.lang.System user.home. получается из свойства java.lang.System user.name. Если равно null, файл кеша будет храниться в текущем каталоге, из которого запускается программа. это имя пользователя для входа в операционную систему. Это имя пользователя может отличаться от основного имени пользователя. Например, в Solaris это может быть /home/duke/krb5cc_duke, где duke — это, а /home/duke — это .

По умолчанию имя таблицы ключей извлекается из файла конфигурации Kerberos. Если имя keytab не указано в файле конфигурации Kerberos, предполагается, что имя будет /krb5.keytab

Если вы не укажете пароль с помощью параметра пароля в командной строке, kinit запросит у вас пароль.

Примечание: пароль предоставляется только в целях тестирования. Не помещайте свой пароль в скрипт и не вводите пароль в командной строке. Это приведет к компрометации вашего пароля.

Дополнительную информацию см. на справочных страницах kinit.

Запрос учетных данных, действительных для аутентификации, с текущего хоста клиента для служб по умолчанию, сохранение кэша учетных данных в расположении по умолчанию (/home/duke/krb5cc_duke):

Запрос проксируемых учетных данных для другого принципала и сохранение этих учетных данных в указанном файловом кэше:

Запрос проксируемых и пересылаемых учетных данных для другого принципала и сохранение этих учетных данных в указанном файловом кеше:

Отображение меню справки для kinit:

Флажок пароля предназначен только для тестирования. Не указывайте свой пароль в командной строке. Это брешь в системе безопасности, поскольку злоумышленник может узнать ваш пароль, например, при выполнении команды Unix ps.

[-V] [-l время жизни] [-s время_начала] [-r возобновляемая_жизнь] [-p | -P] [-f | -F] [-a] [-A] [-C] [-E] [-v] [-R] [-k [-t keytab_file]] [-c имя_кэша ] [-n] [-S service_name][-T armor_ccache] [-X атрибут[=значение ]] [основной]

Описание

kinit получает и кэширует исходный билет на выдачу билетов для principal.

Параметры

отображать подробный вывод. -l время жизни запрашивает тикет со временем жизни время жизни. За значением lifetime должен сразу следовать один из следующих разделителей: как в "kinit -l 90m". Вы не можете смешивать юниты; значение '3h30m' приведет к ошибке.

Если параметр -l не указан, используется срок действия билета по умолчанию (настраиваемый для каждого сайта). Указание времени жизни билета, превышающего максимальное время жизни билета (настраиваемое каждым сайтом), приводит к созданию билета с максимальным сроком действия. -s start_time запрашивает билет с более поздней датой, действительный начиная с start_time. Билеты с более поздней датой выдаются с установленным флагом invalid, и перед использованием их необходимо вернуть в kdc. -r renewable_life запрашивает возобновляемые билеты с общим временем жизни renewable_life. Длительность имеет тот же формат, что и параметр -l, с теми же разделителями. -ф

запросить пересылаемые билеты.

не запрашивайте билеты с возможностью переадресации.

запросить проксируемые билеты.

не запрашивайте прокси-билеты.

запросить билеты с локальным адресом[es].

запросить билеты без адреса.

запрашивает канонизацию основного имени.

рассматривает основное имя как имя предприятия.

запрашивает, чтобы билет на выдачу билета в кэше (с установленным флагом invalid) был передан в kdc для проверки. Если билет находится в пределах запрошенного диапазона времени, кеш заменяется проверенным билетом.

запрашивает продление билета на выдачу билетов. Обратите внимание, что билет с истекшим сроком действия не может быть продлен, даже если срок действия билета еще не истек. -k [-t keytab_file] запрашивает билет, полученный из ключа в файле keytab локального хоста. Имя и местоположение файла keytab можно указать с помощью параметра -t keytab_file; в противном случае будут использоваться имя и местоположение по умолчанию. По умолчанию запрашивается билет хоста, но можно указать любого принципала. В KDC можно использовать специальную ключевую вкладку KDB:, чтобы указать, что kinit должен открывать базу данных KDC и напрямую искать ключ. Это позволяет администратору получать билеты от имени любого принципала, поддерживающего аутентификацию на основе пароля. -н ​​

Запрашивает анонимную обработку. Поддерживаются два типа анонимных участников. Для полностью анонимного Kerberos настройте pkinit на KDC и настройте pkinit_anchors в krb5.conf клиента. Затем используйте параметр -n с принципалом в форме @REALM (пустое имя принципала, за которым следует знак at и имя области). Если это разрешено KDC, будет возвращен анонимный билет. Поддерживается вторая форма анонимных билетов; эти билеты, открытые для области, скрывают личность клиента, но не область клиента. Для этого режима используйте kinit -n с обычным именем участника. Если поддерживается KDC, принципал (но не область) будет заменен анонимным принципалом. Начиная с версии 1.8, MIT Kerberos KDC поддерживает только полностью анонимные операции. -T armor_ccache Указывает имя кэша учетных данных, который уже содержит билет. Если поддерживается KDC, этот кэш-память будет использоваться для защиты запроса, поэтому злоумышленник должен знать как ключ билета защиты, так и ключ принципала, используемого для аутентификации, чтобы атаковать запрос. Бронирование также гарантирует, что ответ от KDC не будет изменен при передаче. -c имя_кэша использовать имя_кэша в качестве имени и местоположения кэша учетных данных (билетов) Kerberos 5; если этот параметр не используется, используются имя и расположение кэша по умолчанию.

Кэш учетных данных по умолчанию может различаться в зависимости от системы. Если установлена ​​переменная среды KRB5CCNAME, ее значение используется для присвоения имени кэшу билетов по умолчанию. Если указано имя принципала и тип кэша учетных данных по умолчанию поддерживает коллекцию (например, тип DIR), выбирается существующий кэш, содержащий учетные данные для принципала, или создается новый, который становится новым первичным кэшем. В противном случае любое существующее содержимое кэша по умолчанию уничтожается kinit. -S имя_службы указать альтернативное имя службы для использования при получении первоначальных билетов. -X атрибут[=значение] указать атрибут предварительной аутентификации и значение, которое будет передано подключаемым модулям предварительной аутентификации. Допустимые значения attribute и value варьируются от плагина предварительной аутентификации к плагину. Эту опцию можно указать несколько раз, чтобы указать несколько атрибутов.Если значение не указано, предполагается, что оно равно "да".

Окружающая среда

Kinit использует следующие переменные среды: KRB5CCNAME

Расположение кэша учетных данных (билетов) Kerberos 5 по умолчанию в формате type:residual. Если префикс типа отсутствует, предполагается тип FILE. Тип кэша по умолчанию может определять доступность коллекции кэшей; например, кеш по умолчанию типа DIR приводит к тому, что кеши внутри каталога присутствуют в коллекции.

Файлы

расположение кэша учетных данных Kerberos 5 по умолчанию ([uid] — десятичный UID пользователя).

Команда kinit используется для получения и кэширования начального билета на выдачу билетов (учетных данных) для принципала. Этот билет используется для аутентификации системой Kerberos. Обратите внимание, что только пользователи с принципалами Kerberos могут использовать систему Kerberos.

Для чего используется Kinit?

kinit используется для получения и кэширования билетов на выдачу билетов Kerberos. Этот инструмент аналогичен по функциональности инструменту kinit, который обычно используется в других реализациях Kerberos, таких как реализации SEAM и MIT Reference.

Что такое Kinit и Keytab?

Когда вы подключаетесь с помощью пароля, Kerberos использует алгоритм «строка в ключ» для преобразования вашего пароля в секретный ключ, используемый KDC. Keytab — это просто средство для хранения секретного ключа в локальном файле. Поэтому, когда вы выполняете kinit с использованием таблицы ключей, для расшифровки большого двоичного объекта используется ключ в таблице ключей.

Что такое Kinit и Klist?

kinit – выполняет аутентификацию с помощью Kerberos, как показано выше. После того, как вы прошли аутентификацию с помощью Kerberos, вы можете вызвать hsi, и он больше не будет спрашивать вас ни о чем во время сеанса HSI. klist – показывает ваш кеш билетов, который включает в себя ваш билет на предоставление билетов, а также текущие и просроченные билеты HSI.

Что такое команда Kinit в Hadoop?

Программа kinit запрашивает у пользователя пароль. Это используется для аутентификации пользователя с помощью службы аутентификации KDC, настроенной в /etc/krb5. конф. Служба проверки подлинности Kerberos выполняет проверку подлинности пользователя и выдает билет TGT, который хранится в кэше учетных данных клиента.

Что пытается решить Kerberos?

Подводя итог, можно сказать, что Kerberos — это решение проблем сетевой безопасности. Он предоставляет инструменты аутентификации и надежной криптографии по сети, чтобы помочь вам защитить ваши информационные системы во всем вашем предприятии.

Что содержит krb5 Conf?

Крб5. conf содержит информацию о конфигурации Kerberos, включая расположение KDC и серверов администрирования для интересующих областей Kerberos, значения по умолчанию для текущей области и приложений Kerberos, а также сопоставления имен хостов с областями Kerberos. Обычно вы должны установить krb5.

Зачем нам нужен файл Keytab?

Цель файла Keytab — предоставить пользователю доступ к отдельным службам Kerberos без запроса пароля для каждой службы. Кроме того, он позволяет сценариям и демонам входить в службы Kerberos без необходимости хранить пароли в открытом виде или без вмешательства человека.

Что такое Kerberos и как он работает?

В Kerberos клиент (как правило, пользователь или служба) отправляет запрос на получение билета в центр распространения ключей (KDC). KDC создает билет на предоставление билетов (TGT) для клиента, шифрует его, используя пароль клиента в качестве ключа, и отправляет зашифрованный TGT обратно клиенту.

Как создать вкладку Kerberos Keytab?

Создание основного файла Kerberos и файлов keytab

  1. Войдите в систему как администратор Kerberos (Admin) и создайте участника в KDC. Вы можете использовать учетные данные для всего кластера или для узла. …
  2. Получите ключ принципала, выполнив подкоманду getprinc имя_пользователя.
  3. Создайте файлы keytab с помощью команды ktutil:

Что такое команда Klist?

Команда klist отображает содержимое кэша учетных данных Kerberos или таблицы ключей.

Как прочитать Keytab?

Как отобразить список ключей (участников) в файле Keytab

Как узнать, работает ли Keytab?

Вы можете использовать служебные программы Kerberos, чтобы убедиться, что имена участников-служб и файлы keytab действительны. Вы также можете использовать утилиты для определения состояния центра распространения ключей Kerberos (KDC). для просмотра и проверки файлов SPN и keytab.

kinit: получить и кэшировать билет на выдачу билетов Kerberos

Команда для отображения руководства kinit в Linux: $ man 1 kinit

ОБЗОР

kinit [-V] [-l продолжительность жизни] [-s время_начала] [-r продлеваемая_жизнь] [-p | - П ] [ -f | -F ] [ -a ] [ -A ] [ -C ] [ -E ] [ -v ] [ -R ] [ -k [- t ключ_файл_таблицы ]] [ -c имя_кэша ] [ -n ] [ -S имя_службы ] [ -I input_ccache ] [ -T arm_ccache ] [ -X атрибут [= значение ]] [ основной ]

ОПИСАНИЕ

kinit получает и кэширует исходный билет на выдачу билетов для принципала .Если принципал отсутствует, kinit выбирает подходящее имя принципала на основе существующего содержимого кэша учетных данных или локального имени пользователя, вызывающего kinit. Некоторые параметры изменяют выбор основного имени.

ВАРИАНТЫ

-V отображать подробный вывод. -l продолжительность жизни ( строка продолжительности.) Запрашивает тикет с продолжительностью жизни .

Например, kinit -l 5:30 или kinit -l 5h30m .

Если параметр -l не указан, используется срок действия билета по умолчанию (настраиваемый для каждого сайта). Указание времени жизни билета, превышающего максимальное время жизни билета (настраиваемое каждым сайтом), не отменит настроенное максимальное время жизни билета. -s start_time ( строка продолжительности.) Запрашивает билет с более поздней датой. Билеты с более поздней датой выдаются с установленным недопустимым флагом, и их необходимо повторно отправить в KDC для проверки перед использованием.

start_time указывает продолжительность задержки до того, как билет станет действительным. -rвозобновляемая_жизнь(строкадлительности.) Запрашивает возобновляемые билеты с общим временем жизни, равным возобновляемой_жизни. -f запрашивает пересылаемые билеты. -F запрашивает билеты без переадресации. -p запрашивает проксируемые билеты. -P запрашивает билеты без прокси. -a запрашивает билеты, ограниченные локальным адресом [адресами] хоста. -A запрашивает билеты, не ограниченные адресом. -C запрашивает канонизацию имени принципала и позволяет KDC отвечать с другим принципалом клиента, отличным от запрошенного. -E рассматривает имя участника как имя предприятия (подразумевает параметр -C). -v запрашивает, чтобы билет на выдачу билетов в кэше (с установленным недопустимым флагом) был передан в KDC для проверки. Если билет находится в пределах запрошенного диапазона времени, кэш заменяется проверенным билетом. -R запрашивает продление билета на выдачу билетов. Обратите внимание, что билет с истекшим сроком действия не может быть продлен, даже если срок действия билета еще не истек.

Обратите внимание, что возобновляемые билеты, срок действия которых истек, как сообщает klist(1), иногда могут быть продлены с использованием этой опции, потому что KDC применяет льготный период для учета расхождения часов клиента-KDC. См. krb5.conf(5) настройка смещения часов. -к [ -я | -t keytab_file ] запрашивает билет, полученный из ключа в keytab локального хоста. Расположение таблицы ключей можно указать с помощью параметра -t keytab_file или с помощью параметра -i, чтобы указать использование таблицы ключей клиента по умолчанию; в противном случае будет использоваться таблица ключей по умолчанию. По умолчанию запрашивается хост-тикет для локального хоста, но можно указать любого принципала. В KDC можно использовать специальную ключевую вкладку KDB:, чтобы указать, что kinit должен открывать базу данных KDC и напрямую искать ключ. Это позволяет администратору получать билеты от имени любого принципала, поддерживающего аутентификацию на основе ключа. -n Запрашивает анонимную обработку. Поддерживаются два типа анонимных участников.

Для полностью анонимного Kerberos настройте pkinit на KDC и настройте pkinit_anchors в krb5.conf(5) клиента. Затем используйте параметр -n с принципалом в форме @REALM (пустое имя принципала, за которым следует знак at и имя области). Если это разрешено KDC, будет возвращен анонимный билет.

Поддерживается второй вид анонимных билетов; эти билеты, открытые для области, скрывают личность клиента, но не область клиента. Для этого режима используйте kinit -n с обычным именем участника. Если это поддерживается KDC, субъект (но не область) будет заменен анонимным субъектом.

Начиная с версии 1.8, MIT Kerberos KDC поддерживает только полностью анонимные операции.

-I input_ccache Указывает имя кэша учетных данных, который уже содержит билет. При получении этого билета, если информация о том, как этот билет была также сохранена в кэше, эта информация будет использоваться, чтобы повлиять на получение новых учетных данных, включая предварительный выбор тех же методов аутентификации в KDC. -T arm_ccache Указывает имя кэша учетных данных, который уже содержит билет. Если KDC поддерживает этот кэш, он будет использоваться для защиты запроса, предотвращения автономных атак по словарю и обеспечения возможности использования дополнительных механизмов предварительной аутентификации. Бронирование также гарантирует, что ответ от KDC не будет изменен при передаче. -c имя_кэша использовать имя_кэша в качестве расположения кэша учетных данных (билетов) Kerberos 5. Если этот параметр не используется, используется расположение кэша по умолчанию.

Расположение кэша по умолчанию может различаться в зависимости от системы. Если установлена ​​переменная среды KRB5CCNAME, ее значение используется для поиска кэша по умолчанию. Если указано имя принципала и тип кэша по умолчанию поддерживает коллекцию (например, тип DIR), выбирается существующий кэш, содержащий учетные данные для принципала, или создается новый, который становится новым первичным кэшем. В противном случае kinit уничтожает любое существующее содержимое кэша по умолчанию. -S имя_службы указать альтернативное имя службы для использования при получении первоначальных билетов.Атрибут -X [= значение ] указывает атрибут и значение предварительной проверки подлинности, которые должны интерпретироваться модулями предварительной проверки подлинности. Допустимые значения атрибутов и значений варьируются от модуля к модулю. Эту опцию можно указать несколько раз, чтобы указать несколько атрибутов. Если значение не указано, предполагается, что оно равно "да".

Следующие атрибуты распознаются механизмом предварительной аутентификации PKINIT: X509_user_identity = значение указывает, где найти информацию об удостоверении пользователя X509 X509_anchors = значение указывает, где найти доверенную информацию о привязке X509 flag_RSA_PROTOCOL [ =yes ] указывает использование RSA, а не протокол Диффи-Хеллмана по умолчанию

ОКРУЖАЮЩАЯ СРЕДА

kinit использует следующие переменные среды: KRB5CCNAME Расположение кэша учетных данных Kerberos 5 по умолчанию в виде типа :остаточный. Если префикс типа отсутствует, предполагается тип FILE. Тип кэша по умолчанию может определять доступность коллекции кэшей; например, кеш по умолчанию типа DIR приводит к тому, что кеши внутри каталога присутствуют в коллекции.

ФАЙЛЫ

ФАЙЛ: /tmp/krb5cc_% расположение по умолчанию кэша учетных данных Kerberos 5 ФАЙЛ: /etc/krb5.keytab расположение по умолчанию для таблицы ключей локального хоста.

Читайте также: