Kerberos ticket lifetime及其它

Morven.Huang發表於2015-06-29

前言

之前的博文中涉及到了Kerberos的內容，這裡對Kerberos ticket lifetime相關的內容做一個補充。

ticket lifetime

Kerberos ticket具有lifetime，超過此時間則ticket就會過期，需要重新申請或renew。ticket lifetime取決於以下5項設定中的最小值：

Kerberos server上/var/kerberos/krb5kdc/kdc.conf中max_life
內建principal krbtgt的maximum ticket life，可在kadmin命令列下用getprinc命令檢視
你的principal的maximum ticket life，可在kadmin命令列下用getprinc命令檢視
Kerberos client上/etc/krb5.conf的ticket_lifetime
kinit -l 引數後面指定的時間

ticket renew lifetime

ticket過期後，如果想延長，一種方法是重新申請（需要輸入密碼），另一種是renew（不需要輸入密碼），每renew一次，就延長一個lifetime。不過renew操作本身也有lifetime，即在ticket renew lifetime，在此lifetime之內，才能進行renew操作。與上面的很相似，ticket renew lifetime取決於以下5項設定中的最小值：

Kerberos server上/var/kerberos/krb5kdc/kdc.conf中max_renewable_life
內建principal krbtgt的maximum renewable life，可在kadmin命令列下用getprinc命令檢視
你的principal的maximum renewable life，可在kadmin命令列下用getprinc命令檢視
Kerberos client上/etc/krb5.conf的renew_lifetime
kinit -r 引數後面指定的時間

HBase與ticket lifetime

HBase需要長時間執行，它對ticket過期問題的處理見org.apache.hadoop.hbase.ipc.RpcClient，方法handleSaslConnectionFailure()，方法註釋中提到HBase是嘗試自動relogin，從程式碼上看應該是直接獲取一個新的ticket，而不是進行renew。

The other problem is to do with ticket expiry. To handle that, a relogin is attempted.
The retry logic is governed by the shouldAuthenticateOverKrb method. In case when the user doesn't have valid credentials, we don't need to retry (from cache or ticket). In such cases, it is prudent to throw a runtime exception when we receive a SaslException from the underlying authentication implementation, so there is no retry from other high level (for eg, HCM or HBaseAdmin).

另外：

[org.apache.hadoop.security.UserGroupInformation] Not attempting to re-login since the last re-login was attempted less than 600 seconds before.

這個錯誤實際是由於UserGroupInformation中的一個hard code值引起的，MIN_TIME_BEFORE_RELOGIN=10*60*1000L，是hadoop自己做出的限制，即不允許過於頻繁地relogin，需要將ticket_lifetime設定為大於10分鐘即可。

keytab與ticket lifetime

keytab檔案實際只是一個密碼檔案，顯然，修改lifetime相關設定跟密碼是沒有關係的，不需要去重新生成現有的keytab檔案。

一些命令

kadmin: modprinc -maxrenewlife 11days +allow_renewable {principal}
kadmin: modprinc -maxlife 6minutes {principal}
kadmin: getprinc {principal} //retrieve the detail info of principal
kinit -R //renew current ticket
kinit {principal} -kt {keytab file} //init a principal via keytab file

送書了，送書了，關注公眾號“程式設計師雜書館”，就送出O'Reilly《Spark快速大資料分析》紙質書（亦有一批PDF分享）！ —— 2018年12月

A. Rudolf and the Ticket
2024-03-16
kerberos
2021-05-21
ROS
網路身份認證——Kerberos配置及認證
2017-12-13
ROS
CAS ticket過期策略
2013-10-14
C. Torn Lucky Ticket
2024-04-27
設計Ticket Master (附解答)
2017-04-12
AST
Kerberos協議
2015-06-08
ROS協議
Rust 生命週期 - lifetime in fn
2020-05-29
Rust
Rust 生命週期 - lifetime in struct
2020-05-29
RustStruct
POJ 2355 Railway Ticket problem
2020-12-12
AI
Kerberos問題總結
2020-12-08
ROS
HBase + Kerberos 配置示例（二）
2015-05-28
ROS
HBase + Kerberos 配置示例（一）
2015-05-14
ROS
hadoop Kerberos過程
2014-08-26
HadoopROS
Kerberos身份認證方案
2009-12-04
ROS
(6)caffe總結之其它常用層及引數
2020-04-04
域滲透 | kerberos認證及過程中產生的攻擊
2022-03-24
ROS
Ambari啟用Kerberos認證
2021-09-09
ROS
Kerberos認證原理詳解
2020-09-30
ROS
其它 Object
2017-11-01
Object
其它事件
2005-11-02
事件
這就是Kerberos的工作原理(轉)
2007-08-10
ROS
其它知識
2017-12-14
kerberos認證協議愛情故事
2021-07-02
ROS協議
Herb Sutter的對話#30：It's an Object-ful Lifetime (轉)
2008-01-06
Object
PostgreSQL：其它型別
2020-12-01
SQL型別
【大資料安全】ApacheKylin安全配置(Kerberos)
2018-09-19
大資料ApacheROS
Kerberos加密級別不支援的問題
2018-12-03
ROS加密
基於Kerberos的大資料安全方案
2018-11-05
ROS大資料
impala整合kerberos問題一例薦
2014-03-21
ROS
Oracle OCP(26)：其它Object
2019-02-03
OracleObject
CSS3-其它特性
2020-11-27
CSSS3
微信跳轉_跳轉微信原理 weixin://dl/business/?ticket=xxx
2021-07-02
API介面的安全設計驗證—ticket，簽名，時間戳
2021-01-05
API時間戳
API 介面的安全設計驗證：ticket，簽名，時間戳
2022-02-13
API時間戳
基於kerberos的hadoop安全叢集搭建
2021-06-20
ROSHadoop
ranger 和kerberos 一般有用看1 速
2024-03-16
RangerROS
全面學習分割槽表及分割槽索引(17)--其它索引分割槽管理操作
2008-06-03
索引