Kerberos常用命令以及搭建过程中的错误

 

Oracle列出的kerberos命令可参考网站：	https://docs.oracle.com/cd/E56344_01/html/E54075/makehtml-id-7.html
kerberos相关配置文件地址	/etc/krb5.conf /var/kerberos/krb5kdc/kdc.conf /var/kerberos/krb5kdc/kadm5.acl /var/kerberos/krb5kdc/.k5.EXAMPLE.COM # master key stash file /etc/krb5.keytab
创建数据库	kdb5_util create -r EXAMPLE.COM -s
创建管理员账户	kadmin.local -q "addprinc root/admin"
启动kdc服务	service krb5kdc start
启动kadmin服务	service kadmin start
启动kpropd服务	kpropd -S
kinit root/admin	获取和缓存kerberos票证授予票证
klist	列出当前保留到额kerberos票证 klist -ket /appcom/test.keytab
kdestroy	销毁kerberos票证
从master kdc上同步数据到slave kdc	kdb5_util dump /var/kerberos/krb5kdc/slave_datatrans kprop -f /var/kerberos/krb5kdc/slave_datatrans slave_hostname   成功后，会出现以下信息：    Database propagation to kerberos2.example.com: SUCCEEDED
修改当前密码	kpasswd
通过keytab文件认证登录	kinit -kt /appcom/test.keytab [email protected]
kadmin模式下：
进入kadmin	kadmin.local / kadmin
生成随机key的principal	addprinc -randkey root/[email protected] ktadd root/[email protected] # 生成keytab文件
生成指定key的principal	addprinc -pw **** root/[email protected]
添加/删除principle	addprinc/delprinc admin/admin
查看principles	listprincs  / list_principals
生成到keytab	ktadd -k /appcom/test.keytab [email protected] xst -k /appcom/test.keytab [email protected] #注意：在生成keytab文件时需要加参数”-norandkey”，否则会导致直接使用kinit [email protected]初始化时会提示密码错误。
设置密码策略(policy)	addpol -maxlife "90 days" -minlife "75 days" -minlength 8 -minclasses 3 -maxfailure 10 -history 10 user
添加带有密码策略的用户	addprinc -policy user test/[email protected]
修改用户的密码策略	modprinc -policy user1 test/[email protected]
删除密码策略	delpol [-force] user
修改密码策略	modpol -maxlife "90 days" -minlife "75 days" -minlength 8 -minclasses 3 -maxfailure 10 user
修改密码	change_password [email protected]

Salve上可能出现的错误：
（1）decrypt integrity check failed while getting initial credentials
需要检查从master上同步过来的5个文件是否正确，然后运行kdestroy删除凭证在重新启动kpropd进程以及kinit root/admin。
（2）kinit: Password incorrect while getting initial credentials
生成的keytab文件不对，或者配置文件没有和master相匹配
（3）查看日志：
/var/log/krb5kdc.log
/var/log/kadmind.log可以看到客户认证的日志。