kerberos 单向信任 和 双向互信

发布于 2021-04-24 21:49:30 字数 1511 浏览 2048 评论 0

双向互信

下面建立两个领域 AMBARI.APACHE.ORGAPACHE.ORG 之间的跨域信任。之后,用 kinit 登录领域 APACHE.ORG,再用 curl 访问上面的属于 AMBARI.APACHE.ORG 领域的链接。

为了建立两个领域的互信,需要在两个领域的 KDC 中分别创建两个特殊的主体 principal:

krbtgt/APACHE.ORG@AMBAIR.APACHE.ORG
krbtgt/AMBARI.APACHE.ORG@APACHE.ORG

具体的操作如下:

$ vagrant ssh c7301
$ sudo su - root
$ kadmin.local -q "addprinc -pw 1 krbtgt/APACHE.ORG@AMBAIR.APACHE.ORG"
$ kadmin.local -q "addprinc -pw 1 krbtgt/AMBARI.APACHE.ORG@APACHE.ORG"
$ vagrant ssh c7304                 (执行这个命令前先退出VM c7301)
$ sudo su - root
$ kadmin.local -q "addprinc -pw 1 krbtgt/APACHE.ORG@AMBAIR.APACHE.ORG"
$ kadmin.local -q "addprinc -pw 1 krbtgt/AMBARI.APACHE.ORG@APACHE.ORG"

测试一下跨域互信。在c7304上执行:

$ kinit root/admin@APACHE.ORG
$ curl --negotiate -u : http://c7301.ambari.apache.org:50070/webhdfs/v1/user?op=LISTSTATUS
{"FileStatuses":{"FileStatus":[
(下略)

从上面可以看出,虽然kinit登录的是APACHE.ORG,却可以访问AMBARI.APACHE.ORG的资源。

单向信任

下面试图建立一个单向信任关系:AMBARI.APACHE.ORG信任APACHE.ORG。
先用delprinc将上文创建了4个krbtgt主体删除。然后在c7301、c7304上分别执行:

$ kadmin.local -q "addprinc -pw 1 krbtgt/AMBARI.APACHE.ORG@APACHE.ORG"

两个主体的密码要一样。在c7304上执行:

$ kinit root/admin@APACHE.ORG
$ curl --negotiate -u : http://c7301.ambari.apache.org:50070/webhdfs/v1/user?op=LISTSTATUS
{"FileStatuses":{"FileStatus":[
(下略)

可以看到,建立单向互信只需要建立两个主体。

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。
列表为空,暂无数据

关于作者

JSmiles

生命进入颠沛而奔忙的本质状态,并将以不断告别和相遇的陈旧方式继续下去。

0 文章
0 评论
84961 人气
更多

推荐作者

已经忘了多久

文章 0 评论 0

15867725375

文章 0 评论 0

LonelySnow

文章 0 评论 0

走过海棠暮

文章 0 评论 0

轻许诺言

文章 0 评论 0

信馬由缰

文章 0 评论 0

    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文