1. 查看当前认证用户
[root@cdh-node-2 /]# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: hdfs@EXAMPLE.COM Valid starting Expires Service principal 08/08/2018 17:49:41 08/09/2018 17:49:41 krbtgt/EXAMPLE.COM@EXAMPLE.COM2. 认证用户
[root@cdh-node-2 /]# kinit -kt /xx/xx/kerberos.keytab hdfs/hadoop13. 删除当前的认证的缓存
[root@cdh-node-2 /]# kdestroy [root@cdh-node-2 /]# klist klist: No credentials cache found (filename: /tmp/krb5cc_0) 6. 一些概念 1. PrincipalKerberos principal用于在kerberos加密系统中标记一个唯一的身份。
kerberos为kerberos principal分配tickets使其可以访问由kerberos加密的hadoop服务。
对于hadoop,principals的格式为username/fully.qualified.domain.name@YOUR-REALM.COM.
keytab是包含principals和加密principal key的文件。
keytab文件对于每个host是唯一的,因为key中包含hostname。keytab文件用于不需要人工交互和保存纯文本密码,实现到kerberos上验证一个主机上的principal。
因为服务器上可以访问keytab文件即可以以principal的身份通过kerberos的认证,所以,keytab文件应该被妥善保存,应该只有少数的用户可以访问。