Kerberos Ticket管理

本章介紹如何管理您的Kerberos Ticket,這裏的Ticket是指Ticket-Granting-Ticket(TGT),是您訪問集羣中服務的憑證。咱們假設您已經有本身的principal和密碼(或者keytab),若是您尚未這些信息,請聯繫您的系統管理員獲取。下面的指令您能夠在安裝了Kerberos或Guardian的集羣中任意一臺機器上執行。node

1. 獲取Ticket: kinit

若是您當前的session中沒有ticket或者ticket已過時,您都須要使用kinit指令來獲取 ticket。您只需執行:session

kinit <your_principal>

這裏<your_principal>處提供您的principal並在系統提示下輸入密碼,便可獲取一張ticket。命令行

舉例:Alice用戶獲取ticket:

[root@tw-node118 ~]# kinit alice@TDH
Password for alice@TDH:

若是您的密碼存在keytab文件中並想要提供keytab文件進行認證,您須要執行:ip

kinit <your_principal> -kt <keytab_path>

這裏<keytab_path>處提供您keytab文件的路徑。這個路徑能夠是絕對路徑也能夠是相對路徑。由於提供keytab文件就是在提供密碼,因此您無需再輸入密碼。ci

舉例:Alice用戶經過提供keytab獲取ticket:

[root@tw-node118 ~]# kinit alice@TDH -kt /root/.keytab

2. 查看Ticket: klist

要查看您當前的session是否有ticket以及ticket的有效期,您只須要在命令行執行klist。it

舉例:當前session沒有ticket:

[root@tw-node118 ~]# klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)

舉例:當前session有ticket:

[root@tw-node118 ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: alice@TDH
Valid starting
Expires
11/26/15 19:04:19 11/27/15 05:04:19
renew until 12/03/15 19:04:19
Service principal
krbtgt/TDH@TDH

在這裏您能夠看到ticket的過時時間,若是根據這個信息當前session中的ticket已通過期,您是沒法訪問服務的。您須要使用kinit指令從新獲取ticket。io

3. 銷燬Ticket: kdestroy

當您結束對集羣服務的使用,能夠用kdestroy指令手動銷燬您的ticket,以防別人持您的ticket來使用您的數據和應用。class

舉例

[root@tw-node118 ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: alice@TDH
Valid starting
Expires
11/26/15 19:11:31 11/27/15 05:11:31
renew until 12/03/15 19:11:31
[root@tw-node118 ~]# kdestroy
[root@tw-node118 ~]# klist
Service principal
krbtgt/TDH@TDH
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)

當前session沒有ticket說明ticket已經被銷燬。集羣