Kerberos常用命令以及搭建过程中的错误

https://docs.oracle.com/cd/E56344_01/html/E54075/makehtml-id-7.html

kerberos相关配置文件地址

/etc/krb5.conf

/var/kerberos/krb5kdc/kdc.conf

/var/kerberos/krb5kdc/kadm5.acl

/var/kerberos/krb5kdc/.k5.EXAMPLE.COM # master key stash file

/etc/krb5.keytab

创建数据库

kdb5_util create -r EXAMPLE.COM -s　

创建管理员账户

kadmin.local -q "addprinc root/admin"

启动kdc服务

service krb5kdc start

启动kadmin服务

service kadmin start　

启动kpropd服务

kpropd -S

kinit root/admin

klist

列出当前保留到额kerberos票证

klist -ket /appcom/test.keytab　

kdestroy

销毁kerberos票证

从master kdc上同步数据到slave kdc

kdb5_util dump /var/kerberos/krb5kdc/slave_datatrans

kprop -f /var/kerberos/krb5kdc/slave_datatrans slave_hostname  

成功后，会出现以下信息： 

  Database propagation to kerberos2.example.com: SUCCEEDED

修改当前密码

kpasswd

通过keytab文件认证登录

kinit -kt /appcom/test.keytab test@EXAMPLE.COM

kadmin模式下：

进入kadmin

kadmin.local / kadmin

生成随机key的principal

addprinc -randkey root/admin@EXAMPLE.COM

ktadd root/admin@EXAMPLE.COM # 生成keytab文件

生成指定key的principal

addprinc -pw **** root/admin@EXAMPLE.COM

添加/删除principle

addprinc/delprinc admin/admin

查看principles

listprincs  / list_principals

生成到keytab

ktadd -k /appcom/test.keytab test@EXAMPLE.COM

xst -k /appcom/test.keytab test@EXAMPLE.COM

#注意：在生成keytab文件时需要加参数”-norandkey”，否则会导致直接使用kinit test@EXAMPLE.COM初始化时会提示密码错误。

设置密码策略(policy)

addpol -maxlife "90 days" -minlife "75 days" -minlength 8 -minclasses 3 -maxfailure 10 -history 10 user

添加带有密码策略的用户

addprinc -policy user test/admin@EXAMPLE.COM

修改用户的密码策略

modprinc -policy user1 test/admin@EXAMPLE.COM

删除密码策略

delpol [-force] user

修改密码策略

modpol -maxlife "90 days" -minlife "75 days" -minlength 8 -minclasses 3 -maxfailure 10 user

修改密码

change_password test1@EXAMPLE.COM