1.登录主体

 在KDC服务端节点登录

kadmin.local

在Client客户端登录

kadmin admin/admin

退出登录

kadmin: exit

2.创建kerberos主体

 创建主体user1并指定输入密码

kadmin.local -q "addprinc user1"

 创建主体user3密码随机生成

kadmin.local -q "addprinc -randkey user3"

3.修改Kerberos主体密码

修改主体user1的密码

kadmin.local -q "cpw user1"

4. 查询所有的Kerberos的主体

kadmin.local -q "list_principals"

5. 生成keytab密钥文件

 生成主体user1的keytab文件到指定目录/home/keytab/user1.keytab

kadmin.local -q "xst -k /home/keytab/user1.keytab user1@HADOOP.COM"

 查看生成的keytab密钥文件

ls /home/keytab/

6. 删除Kerberos主体

 删除Kerberos主体user3

kadmin.local -q "delprinc user3"

确定是否已经删除

kadmin.local -q "list_principals"

7.主体认证

 kinit 进行主体Kerberos认证，通过密码的方式

kinit admin/admin

 Kerberos主体凭证查看

klist

 kinit 进行主体Kerberos认证，通过keytab的方式

kinit -kt /home/keytab/user1.keytab user1

 klist查看凭证

klist

8.销毁凭证

 销毁前

 执行销毁凭证命令

kdestroy

 查看主体凭证信息

klist

9.启动重启停止Kerberos服务命令

启动服务命令

（1）启动kdc服务

service krb5kdc start

（2）启动kadmin服务

service kadmin start　

 

l重启服务命令

（1）重启kdc服务

service krb5kdc restart

（2）重启kadmin服务

service kadmin restart

 

停止服务命令

（1）停止kdc服务

service krb5kdc stop

（2）停止kadmin服务

service kadmin stop

 10.安装和使用Kerberos异常问题

 原因：因为/dev/random的随机数据产生的很少，可以适当的让网卡传输数据，这样有助于产生随机数据。

l解决办法：

可以重新开启一个窗口执行cat /dev/sda > /dev/urandom命令，加快消耗CPU，增加随机数采集

2.Kerberos启动后台日志提示异常：No such file or directory - while initializing database for realm HADOOP.COM

kdc的服务启动日志异常信息：No such file or directory - while initializing database for realm HADOOP.COM

 检查kdc.conf和krb5.conf文件是否配置正确,修改配置，注意：

配置文件的[kdcdefaults]，[logging]、[libdefaults]等的里面不能有空格

 停止Kerberos服务

service krb5kdc stop

service kadmin stop

 删除Kerberos数据库重新创建数据库

rm -rf /var/kerberos/krb5kdc/*principal*

kdb5_util create -s -r HADOOP.COM

 创建管理员

kadmin.local -q "addprinc admin/admin"

 启动Kerberos服务

service krb5kdc start

service kadmin start

在检查下日志文件内容

cat /var/log/krb5kdc.log

krb5kdc正常启动了

cat /var/log/kadmin.log

kadmind也正常启动了

3. kinit通过keytab认证出现异常kinit: ???? while getting initial credentials

描述：通过Linux的user1主体执行kinit -kt /home/keytab/user1.keytab user1出现下面情况

kinit /home/hadoop

kinit: ???? while getting initial credentials

或者kinit: Permission denied while getting initial credentials

解决办法：

l使用Linux的root用户更改user1.keytab文件的拥有者为user1

chown user /user/keytab/user1.keytab

使用Linux的root用户更改user1.keytab的权限为660

验证认证正常

4.kinit进行主体密码认证时候，明明密码正确，为什么一直提示密码错误

异常进行如下：kinit: Password incorrect while getting initial credentials

 原因：已经使用该主体生成了keytab文件，那么‘kinit 主体名’进行验证时候是无法进行认证的

 解决办法：

（1）要么使用keytab的方式认证

 kinit -kt /home/keytab/user1.keytab user1

要么更改密码，重新kinit 新密码认证，那么以前的那个keytab文件就失效了

5. Kerberos创建数据库异常：Bad krb5 admin server hostname while initializing kadmin interface

原因：在 krb5.conf 文件中为 admin_server 配置了无效的主机名。

 

解决办法：修改krb5文件，检查admin_server配置是否正确的主机名，

修改后，重启执行创建数据库的命令。

6. 进行kinit认证凭证异常：Cannot determine realm for host: host 'hostname'

异常信息：Cannot determine realm for host: host 'hostname'

kinit -kt /home/keytab/user1.keytab

 异常原因：没有指定对应的Kerberos的默认领域

 解决办法：添加Kerberos主体

kinit -kt /home/keytab/user1.keytab user1

7.异常问题：Configuration file does not specify default realm when parsing name admin/admin

异常：Configuration file does not specify default realm when parsing name admin/admin

原因：krb5.conf文件被删除或者不可用

此文档编写者出现此异常是业务krb5.conf文件不小心被删除

解决办法：重新按照安装时候的配置创建krb5.conf文件

保存退出。

异常问题已经解决：

8. 异常问题：Incorrect net address