Nahtlose Kerberos-Verbindung unter Windows

Warum und wann dieser Vorgang ausgeführt wird

Sie müssen das Script unica_kerbKeyGenRenew.bat ausführen, um das Ticket für den Kerberos-Prinzipal zu erhalten. Der Zweck dieses Scripts ist es, kontinuierlich zu laufen und :
  1. Erneuert den TGT vor seiner Erneuerungsfrist.
  2. Generiert das Token vor dem Ablauf neu.
Standardmäßig erneuert es das Ticket alle 24 Stunden und generiert nach 7 Tagen ein neues Ticket. Sie können auch die Standardeinstellung für die Neugenerierung und Erneuerung der Tickets überschreiben, indem Sie Umgebungsvariablen setzen.Voraussetzung für die Ausführung des Scripts
  1. Die Installation und Konfiguration von MIT Kerberos ist erforderlich.
  2. Keytab Datei ist bereits vorhanden für den genannten Principal.
  3. Die folgenden Umgebungsvariablen sind festgelegt:
    1. TGT_EXPIRY_DAYS: Anzahl der Tage, nach denen dieses TGT ausläuft und nicht mehr verlängert werden kann (Wert in Tagen angeben)
    2. TGT_RENEWAL_HOURS: Anzahl der Stunden, innerhalb derer dieses TGT erneuert werden muss (Wert in Stunden angeben)
    3. KRB5CCNAME: Pfad zur Cachedatei.
    4. KEYTAB_FILE_PATH: Pfad zur Keytab-Datei für diesen Principal
  4. Von der Befehlszeile aus sollte der Befehl “Where kinit" auf MIT Kerberoszeigen. Zum Beispiel: C:\Kerbores\Campaign\bin>where kinitC:\Program Files\MIT\Kerberos\bin\kinit.exe
  5. Kopieren Sie dieKeytab-Datei für den Principal, den Sie authentifizieren möchten, in das Campaign-System.
Vorgehensweise zur Ausführung des Scripts

Prozedur

  1. Stellen Sie sicher, dass die Voraussetzungen erfüllt sind.
  2. Führen Sie dann Folgendes aus: <campaign_home>/bin/unica_kerbKeyGenRenew.bat <principal>Beispiel: unica_kerbKeyGenRenew.bat impala/quickstart.cloudera@CLOUDERA
  3. Das Script beginnt zu laufen und tut Folgendes:
    1. Die TGT generieren.
    2. Überprüfen Sie alle 1 Minute die Erneuerung und Regenerierung des TGT.
    3. Prüfen Sie anhand der Werte in TGT_EXPIRY_DAYS und TGT_RENEWAL_HOURS weiter auf Erneuerung oder Ablauf.
    4. Vor der Erneuerungsfrist - den TGT erneuern. Und vor Ablauf der Frist - den TGT regenerieren.
    Anmerkung:
    1. Die Werte für TGT_RENEWAL HOURS und TGT_EXPIRY_DAYS müssen mit der Konfiguration des Kerberos-Servers übereinstimmen. Bitte kontaktieren Sie den Kerberos-Administrator, um die Werte zu erhalten.
    2. Standardmäßig legt das Script 24 Stunden für die TGT-Verlängerung und 7 Tage für TGT_EXPIRY fest.

    Mögliche Fehler:

    1. Verwendung

    2. Principal ist falsch

    3. Die Keytab-Datei ist für den Principal nicht vorhanden.

    4. Eine oder mehrere der Voraussetzungen sind nicht erfüllt

    5. Die Keytab-Datei ist nicht gültig.