MacOS Sierra & Kerberos

Question

MacOS Sierra & Kerberos

Я использую MacOs High Sierra 10.13

Мне нужно получить удаленный доступ к веб-интерфейсу Kerberised (конкретный интерфейс Hadoop Cluster / Ambari / Oozie Service)
Для этого мне сначала нужно отредактировать / настроить конфигурационный файл kerberos, чтобы добавить область, прежде чем вызывать kinit правильно. Я внимательно посмотрел, файл конфигурации Kerberos отсутствует в системе: нигде нет следов файла с именем "edu.mit.Kerberos", а не "krb5.conf".

Но все же вызов kinit выводит это:

user@MBP:~$ kinit
kinit: krb5_get_default_principal: Configuration file does not specify default realm

Мне действительно любопытно, где файл конфигурации скрыт, если он когда-либо существует.

В любом случае, я попытался создать и /etc/krb.conf и /Library/Preferences/edu.mit.Kerberos с моей конфигурацией области, но я получаю один и тот же вывод.

Я даже не уверен, что kerberos по умолчанию установлен должным образом в этой версии MacOS, но у меня есть команды klist и kinit изначально в usr/bin.

Я также попытался выгрузить / перезагрузить сервис kerberos, но соответствующие файлы plist также отсутствуют

sudo launchctl unload /System/Library/LaunchDaemons/edu.mit.Kerberos.kadmind.plist
sudo launchctl unload /System/Library/LaunchDaemons/edu.mit.Kerberos.krb5kdc.plist
sudo launchctl load /System/Library/LaunchDaemons/edu.mit.Kerberos.kadmind.plist
sudo launchctl load /System/Library/LaunchDaemons/edu.mit.Kerberos.krb5kdc.plist

все дают

No such file or directory

Я ознакомился с официальной документацией MIT здесь и здесь, но это не очень помогло. Также я советую использовать утилиту "Mac OS X Kerberos Extras", но я специалист по терминалам, я действительно предпочитаю понимать, что я делаю, где находятся файлы conf и что на самом деле происходит.

Любая помощь или достойная документация приветствуется. Спасибо

1

macos kerberos

Источник

user426332 19 сен '18 в 15:52

1 ответ

Другие вопросы по тегам macos kerberos

user4390038 03 июл '19 в 00:40 2019-07-03 00:40 · Answer 1 · 2019-07-03 00:40

В какой-то момент Apple переименовала Kernelos launchdaemons, чтобы жить под com.apple, например, com.apple.Kerberos.kcm.plist для демона кэша учетных данных.

2

Источник

user4390038 03 июл '19 в 00:40

user6712861 19 сен '18 в 16:30 2018-09-19 16:30 · Answer 2 · 2018-09-19 16:30

У нас был некоторый опыт этого и "скудных" документов, где я базируюсь...

Ты можешь написать /etc/krb5.conf например:

[libdefaults]
  dns_lookup_kdc = false
  dns_lookup_realm = false
  ticket_lifetime = 86400
  renew_lifetime = 604800
  forwardable = true
  default_tgs_enctypes = aes256-cts
  default_tkt_enctypes = aes256-cts
  permitted_enctypes = aes256-cts
  udp_preference_limit = 1
  kdc_timeout = 3000
[realms]
  NODE.EXAMPLE.COM = {
    kdc = tcp/example.com:port
  }

В нашем случае мы подключаемся через ssh, поэтому у меня есть: kdc = tcp/localhost:11006 где это туннелирует к коробке / порту с запущенным kdc. затем kinit USERNAME@REALM

https://developer.mozilla.org/en-US/docs/Mozilla/Integrated_authentication может быть полезным после этого.