Kerberos kinit:获取默认ccache时，凭据缓存类型未知

Kerberos kinit: 获取默认ccache时，凭据缓存类型未知

基础概念

Kerberos是一种网络认证协议，用于在非安全网络环境中提供安全的身份验证。kinit是Kerberos的一个命令行工具，用于获取和更新票据授权文件（TGT）。凭据缓存（Credential Cache，简称ccache）是Kerberos用于存储已获取的票据授权文件（TGT）和会话密钥的地方。

类型

Kerberos凭据缓存有多种类型，常见的包括：

内存缓存：存储在内存中，适用于临时会话。
文件缓存：存储在文件系统中，适用于持久会话。
密钥分发中心（KDC）缓存：存储在KDC服务器上，适用于大规模部署。

应用场景

Kerberos广泛应用于需要高安全性的网络环境中，如：

企业内部网络：保护内部资源访问。
云服务：确保云环境中的安全通信。
分布式系统：保护跨节点的通信。

问题原因

当执行kinit命令时，系统无法识别默认的凭据缓存类型，可能是由于以下原因：

配置文件错误：Kerberos配置文件（通常是krb5.conf）中的缓存类型设置不正确。
环境变量未设置：Kerberos相关的环境变量（如KRB5CCNAME）未正确设置。
缓存文件损坏：凭据缓存文件可能已损坏或格式不正确。

解决方法

检查配置文件：确保krb5.conf文件中正确设置了缓存类型。例如：
检查配置文件：确保krb5.conf文件中正确设置了缓存类型。例如：
设置环境变量：确保Kerberos相关的环境变量已正确设置。例如：
设置环境变量：确保Kerberos相关的环境变量已正确设置。例如：
清除缓存文件：如果缓存文件损坏，可以尝试删除缓存文件并重新获取票据。例如：
清除缓存文件：如果缓存文件损坏，可以尝试删除缓存文件并重新获取票据。例如：

示例代码

以下是一个简单的示例，展示如何设置环境变量并执行kinit命令：

# 设置环境变量
export KRB5CCNAME=FILE:/tmp/krb5cc_$(id -u)

# 执行kinit命令
kinit your_username

参考链接

通过以上步骤，您应该能够解决kinit命令获取默认ccache时凭据缓存类型未知的问题。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

基于Kerberos认证的大数据权限解决方案

default_realm：Kerberos应用程序的默认领域，所有的principal都将带有这个领域标志 ticket_lifetime：表明凭证生效的时限，一般为24小时 renew_lifetime...-q "addprinc dy" # 使用该用户登录，获取身份认证，需要输入密码 kinit dy # 查看当前用户的认证信息ticket klist # 更新ticket kinit -R # 销毁当前的...其他服务（如 HDFS 和 MapReduce）不使用 Hue Kerberos Ticket Renewer。它们将在启动时获取票证，并使用这些票证获取各种访问权限的委派令牌。...ticket to work around kerberos 1.8.1: /bin/kinit -R -c /var/run/hue/hue_krb5_ccache [10/Feb/2020 23:...要作为 hdfs 超级用户运行命令，您必须为 hdfs 主体获取 Kerberos 凭据。

2.7K20 16

使用FreeIPA为CDH6.3集群部署安全

在设置KDC页面中，KDC Type选择Redhat IPA，然后依次填写配置相关的KDC信息，包括类型、KDC服务器、KDC Realm、加密类型以及待创建的Service Principal（hdfs...8) 配置Kerberos，包括部署其他节点客户端命令，配置端口等。我们前面已经配置了其他机器的kerberos客户端，这里不需要配置。端口保存默认。 ? 9) 点击“继续”启用Kerberos ?...Kdestroy掉已有的凭据，hdfs访问报权限问题，无法访问。...kinit -kt hdfs.keytab hdfs/wangxf.vpc.cloudera.com@VPC.CLOUDERA.COM 如果执行遇到下面的错误： kinit: Pre-authentication...05 — 常见问题 hue 的Kerberos Ticket Renewer角色报错，查看角色详细日志： ? 执行klist -f -c /var/run/hue/hue_krb5_ccache ?

2.1K2 0

使用FreeIPA为CDP DC集群部署安全

1.7K1 0

Kerberos相关问题进行故障排除| 常见错误和解决方法

如果在kinit命令中未指定，则生存期将从krb5.conf中获取，如果不存在renew_lifetime，则生存期默认为零。您的KDC上的krbtgt服务Principal的更新生命周期为0。...当Namenode尝试调用HTTP URL以获取新的fsimage（作为检查点过程的一部分）时，或者在从Journal节点读取编辑时启动时，也可以在Active Namenode日志中观察到此错误。...中存在的加密类型不匹配的加密类型（例如krbtgt/CLOUDERA@CLOUDERA）之后，使用向导启用Kerberos时，您可能会看到此错误。。...7天），并且一个长时间运行的非作业进程不必要地获取HBase身份验证令牌，通过keytab或票证高速缓存登录名绕过Kerberos身份验证方法的可更新用法，并将其生存期限制为“ hbase.auth.token.max.lifetime...（kinit，导入Cloudera Manager帐户凭据。）

44.6K3 4

0561-04-如何将CDH集成的KDC迁移至FreeIPA的Kerberos认证

4.完成keytab生成自定义脚本的配置后，到Kerberos凭据管理界面，重新生成所有服务的Kerberos信息 ? 命令运行成功，以重新生成了所有服务的keytab文件 ?...6 总结 1.CDH集成FreeIPA的Kerberos，需要在集群的所有节点安装FreeIPA Client，安装客户端时会默认的配置Kerberos信息到每个节点的/etc/krb5.conf文件中...2.由于CDH默认不支持集成FreeIPA，因此在集成FreeIPA的Kerberos时需要自定义生成keytab脚本 3.在CM中配置了自定义生成keytab脚本后，会忽略所有的Kerberos的配置信息...5.在getkeytabs.sh脚本中，ipa-getkeytab导出keytab时指定了加密类型为rc4-hmac，否则在启动Zookeeper服务时会报错。...7.特别注意需要将FreeIPA默认的krb5.conf配置文件中default_ccache_name = KEYRING:persistent:%{uid}参数注释掉，否则会导致无法访问HDFS服务提交作业等

2.8K4 0

python3.6.5基于kerberos认证的hive和hdfs连接调用方式

通过kinit 生成 ccache_file或者keytab_file 6...._list_status(path).json()['FileStatuses']['FileStatus'] #获取path下文件及文件夹 8....default_realm = PANEL.COM ticket_lifetime = 24h dns_lookup_realm = false dns_lookup_kdc = false default_ccache_name...-kt {0} {1}'.format(self.keytab_file, self.user) # 激活当前kerberos用户认证，因为python缓存机制，切换用户，这个缓存不会自动切换，...命令 kinit -kt xxxx.keytab #激活xxxx用户当前缓存 kinit list #查看当前缓存用户以上这篇python3.6.5基于kerberos认证的hive和hdfs

4.1K2 1

0751-7.0.3-如何在CDP DC7.0.3中启用Kerberos

admin/admin@PREST.COM": ****** Principal "admin/admin@PREST.COM" created. kadmin.local: exit 注意：在创建账号时需要输入管理员账号及密码...3.进入如下界面，选择“启用Kerberos” ? 4.选择KDC服务类型，已经确保KDC服务是否已启动且准备好 ?...8.点击“继续”，到处KDC Account Manager凭据 ? 9.确认Kerberos信息以及HDFS的端口号的变化（默认即可） ? 10.点击“继续”，运行启用Kerberos命令 ?...2.使用cdhadmin用户进行kinit操作 [root@cdh3 ~]# kinit cdhadmin [root@cdh3 ~]# klist [root@cdh3 ~]# hadoop fs -...总结 1.CDP DC集群的Kerberos启用与CDH5和CDH6差别不大，只是在界面上有小的改动 2.CDP DC的KDC类型支持FreeIPA服务 3.在CDH集群中启用Kerberos需要先安装

1.5K4 0

干货 | 域渗透之域持久性：Shadow Credentials

PKINIT 是 Kerberos 协议的扩展协议，允许在身份验证阶段使用数字证书。这种技术可以用智能卡或 USB 类型的身份验证代替基于密码的身份验证。...在传统的 Kerberos 身份验证中，客户端必须在 KDC 为其提 TGT 票据之前执行 “预身份验证”，该票证随后可用于获取服务票证。...# Abuse 在滥用 Key Trust 时，我们实际上是在向目标帐户添加替代凭据，或 “影子凭据”，从而允许获取 TGT 并用于后续操作。即使用户/计算机更改了密码，这些影子凭据也会保留。...这里我们请求的是域控制器的 CIFS 服务，相关命令如下： python3 gets4uticket.py kerberos+ccache://pentest.com\\dc01\$:dc01.ccache...获取这个 NTLM 凭据涉及解密 PAC_CREDENTIAL_DATA 结构，Benjamin Delpy 早在 2016 年就已经在 Kekeo 和 Mimikatz 中实现了这一点。

1.8K3 0

【大数据安全】Kerberos集群安装配置

以下是几个核心参数的说明： [logging]：日志输出设置（可选） [libdefaults]：连接的默认配置 default_realm：Kerberos应用程序的默认领域，所有的principal...：credential缓存名，默认值为 [realms]：列举使用的 realm kdc：代表要 kdc 的位置。...检查Kerberos正常运行 kinit admin/admin 9...." # 列出Kerberos中的所有认证用户 kadmin.local -q "addprinc user1" # 添加认证用户，需要输入密码 kinit user1 # 使用该用户登录，获取身份认证...认证用户 [root@cdh-node-2 /]# kinit -kt /xx/xx/kerberos.keytab hdfs/hadoop1 3.

1.9K3 1

0465-如何使用SQuirreL访问Kerberos环境下的Hive

4.完成以上配置后，在Window客户端测试是否能够正常kinit ? Kinit成功后 ?...表示获取你的Subject来实现Kerberos认证、1表示基于JAAS方式获取Kerberos认证、2表示基于当前客户端的Tick Cache方式认证 4 SQuirreL访问Hive 1.使用Kerberos...5 总结 1.注意在使用Cloudera提供的Hive驱动包访问Kerberos环境下的Hive时注意JDBC URL地址配置方式。...3.特别强调在Window机器上配置Kerberos客户端时，需要配置KRB5_CONF和KRB5CCNAME两个环境变量，否则在使用访问时会报“Unable to obtain Principal Name...推荐关注Hadoop实操，第一时间，分享更多Hadoop干货，欢迎转发和分享。

1.2K4 0

Windows本地安装配置Kerberos客户端

= XDATA.COM ticket_lifetime = 24h dns_lookup_realm = false dns_lookup_kdc = false # default_ccache_name...实例：第一种认证方式在Kerberos KDC所在主机上创建一个主体有了lyz@XDATA.COM这个主体之后，我们可以双击打开我们的Kerberos客户端，获取Ticket。...security/keytabs kadmin.local ktadd -norandkey -k lyz@keytab lyz@XDATA.COM # -norandkey参数用于创建keytab时，...Kebreros通过keytab的方式来认证Kerberos主体，假设我们不知道keytab对应的是哪个Kerberos主体，那么我们可以使用klist -kte命令来查看keytab，然后在使用kinit...命令认证，如下图所示：注意：上面的kinit认证，只需要认证成功一种就可以任意访问Hadoop所有服务了，上面只是针对kinit的命令选择进行了罗列。

18.4K3 2

0469-如何使用DBeaver访问Kerberos环境下的Impala

注意：KRB5CCNAME的路径默认是不存在的，因此需要在C盘下创建temp文件夹，krb5cache文件则不需要创建。配置完环境变量后，重启计算机使其生效。...4.完成以上配置后，在Window客户端测试是否能够正常kinit ? Kinit成功后 ?...4 获取Impala JDBC驱动 1.在Cloudera官网下载Impala的JDBC驱动包 https://www.cloudera.com/downloads/connectors/impala/...6 总结 1.Cloudera提供了Impala JDBC驱动包，在访问Kerberos环境下的Impala时注意JDBC URL地址配置方式。...2.DBeaver客户需要配置Java Kerberos环境的相应参数 3.特别强调在Window机器上配置Kerberos客户端时，需要配置KRB5_CONF和KRB5CCNAME两个环境变量，否则在使用访问时会报

2.5K3 0

0468-如何使用DBeaver访问Kerberos环境下的Hive

4.完成以上配置后，在Window客户端测试是否能够正常kinit ? Kinit成功后 ?...4 基于Hive原生驱动创建连接 Hive原生驱动的获取方式在《0459-如何使用SQuirreL通过JDBC连接CDH的Hive（方式一）》文章中有说明使用Maven的方式获取Hive JDBC驱动，...4.完成连接创建后即可正常访问Kerberos环境下的Hive库 ? 6 总结 1.使用Hive原生JDBC驱动时，需要增加Hadoop相关的依赖包，否则会报版本啊什么的异常。 ?...2.注意在使用Cloudera提供的Hive驱动包访问Kerberos环境下的Hive时注意JDBC URL地址配置方式。...4.特别强调在Window机器上配置Kerberos客户端时，需要配置KRB5_CONF和KRB5CCNAME两个环境变量，否则在使用访问时会报“Unable to obtain Principal Name

5.1K4 1

基于Kerberos环境下，使用Java连接操作Hive

ktadd -norandkey -k /etc/security/keytabs/liuyzh.service.keytab liuyzh/node71.xdata@EXAMPLE.COM # 验证 kinit...-kt /etc/security/keytabs/liuyzh.service.keytab liuyzh/node71.xdata@EXAMPLE.COM # 查看kerberos认证缓存 klist...在非 kerberos kdc 主机上，在 root 用户下使用 kadmin 进入： # 在非 kerberos kdc 所在的主机，首先需要验证身份：kinit xxx/admin@EXAMPLE.COM...EXAMPLE.COM ticket_lifetime = 24h dns_lookup_realm = false dns_lookup_kdc = false # default_ccache_name...3、初始化连接代码初始化连接的逻辑里面，需要指定如下配置： hadoop.security.authentication java.security.krb5.conf 登陆时指定 principal

9.6K2 0

0474-如何使用SQL Developer访问Hive

注意：KRB5CCNAME的路径默认是不存在的，因此需要在C盘下创建temp文件夹，krb5cache文件则不需要创建。配置完环境变量后，重启计算机使其生效。...4.完成以上配置后，在Window客户端测试是否能够正常kinit ? Kinit成功后 ?...1.使用Kerberos客户端kinit一个账号 ? 2.在SQLDeveloper客户端添加一个新的连接 ?...8 总结 1.注意在使用Cloudera提供的Hive驱动包访问Kerberos和LDAP环境下的Hive时需要在连接中增加额外的参数“AuthMech”等。...2.特别强调在Window机器上配置Kerberos客户端时，需要配置KRB5_CONF和KRB5CCNAME两个环境变量，否则在使用访问时会报“Unable to obtain Principal Name

1.6K2 0

如何使用Java连接Kerberos的HBase

在Linux下使用HBase客户端访问HBase数据时需要先kinit初始化Kerberos账号，认证完成后我们就可以直接使用HBase shell操作HBase了。...通过Linux的Kinit命令可以方便的完成Kerberos的认证，那么在Java开发中如何完成Kerberos的登录认证呢？本篇文章主要讲述如何使用Java连接Kerberos环境的HBase。...ticket_lifetime= 24h renew_lifetime= 7d forwardable= true rdns = false default_realm=CLOUDERA.COM #default_ccache_name...ap-southeast-1.compute.internal=CLOUDERA.COM ip-172-31-22-86.ap-southeast-1.compute.internal=CLOUDERA.COM 3.获取...在使用Kerberos账号进登录行认证时，如果使用的是普通账号（fayson），则需要为fayson账号授权，否则fayson用户无权限访问HBase库的表。

5.7K8 0

工具的使用 | Impacket的使用

GetTGT.py：指定密码，哈希或aesKey，此脚本将请求TGT并将其保存为ccache GetST.py：指定ccache中的密码，哈希，aesKey或TGT，此脚本将请求服务票证并将其保存为ccache...它通过混合使用[MS-SFU]的S4USelf +用户到用户Kerberos身份验证组合来实现的。 GetUserSPNs.py：此示例将尝试查找和获取与普通用户帐户关联的服务主体名称。...GetNPUsers.py：此示例将尝试为那些设置了属性“不需要Kerberos预身份验证”的用户获取TGT（UF_DONT_REQUIRE_PREAUTH).输出与JTR兼容 ticketer.py...对于SAM和LSA Secrets（包括缓存的凭据），然后将hives保存在目标系统（％SYSTEMROOT％\ Temp目录）中，并从中读取其余数据。...对于DIT文件，我们使用dl_drsgetncchanges（）方法转储NTLM哈希值、纯文本凭据（如果可用）和Kerberos密钥。

6.2K1 0

Step by Step 实现基于 Cloudera 5.8.2 的企业级安全大数据平台 - Kerberos的整合

一般我们将 TGT 的存放文件，称为 Kerberos Confidential 文件，默认的存放目录为/tmp，文件名则由 krb5cc 和用户的 id 组成，例如“/tmp/krb5cc_0”为root...系统：CentOS 7.2 操作用户：admin 角色分布如下：角色部署节点机器类型 KDC, AS, TGS 192.168.1.1 VM Kerberos Agent 192.168.1.[2...；点击 Continue，进入下一页进行配置，要注意的是：这里的 Kerberos Encryption Types 必须跟KDC实际支持的加密类型匹配（即kdc.conf中的值），这里使用了默认的aes256...查看当前ticket缓存，这时应会报错No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)： klist -f 重新获取ticket...： kinit /DOMAIN.COM@DOMAIN.COM 查看当前ticket缓存，应该不会报错： klist -f Hive功能测试 CLI测试，首先进行principal

8332 0

Windows Kerberos客户端配置并访问CDH

安装文档主要分为以下几步： 1.在Windows Server2008 R2 64位上安装Kerberos Client。 2.在Windows下使用kinit测试。...7.配置完成后，启动MIT Kerberos客户端，如下图所示： [x78qh3arfd.jpeg] 3 在Window下使用kinit测试 3.1 使用密码登录Kerberos 1.KDC Server...客户Get Ticket [6ovgisbqvq.jpeg] 在如下列表中可以看到获取到的Ticket [wpy4bbg4c7.jpeg] 3.销毁获取到的Ticket 选中列表中需要销毁的Ticket...注意默认的“KRB5CCNAME”目录是在C:\temp. 3.在windows下的krb5.ini配置错误导致MIT Kerberos不能启动如果直接将krb5.conf文件更名为ini文件并替换krb5...该凭证报密码错误在生成keytab文件时需要加参数”-norandkey”否则会导致直接使用kinit test@CLOUDERA.com直接初始化时会提示密码错误。

7.8K13 0

0614-5.16.1-同一OS用户并行Shell脚本中kinit不同的Principal串掉问题分析

认证时Principal账号串掉问题分析及解决。...在生成的a_fayson.log和a_cdhadmin.log中可以看到两个脚本会获取到对方的Principal信息 ?...3 问题分析 1.首先在客户端进行Kinit操作后，默认的Ticket Cache是存储在tmp/krb5cc_0临时文件中（Ticket cache文件是根据当前用户的uid在/tmp目录下生成一个以...5 解决方法二在脚本中使用了C shell（csh）命令，C shell是一个交互式命令解释器和一种编程语言，采用的语法类型于C编程语言。...6 总结 1.默认Ticket cache文件的生成是根据用户的uid在/tmp目录下生成一个以krb5cc_开头的缓存文件。

2K3 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

Kerberos kinit:获取默认ccache时，凭据缓存类型未知

Kerberos kinit: 获取默认ccache时，凭据缓存类型未知

基础概念

相关优势

类型

应用场景

问题原因

解决方法

示例代码

参考链接

社区

活动

资源

关于

腾讯云开发者

热门产品

热门推荐

更多推荐