Connexion Kerberos fluide sur Windows

Pourquoi et quand exécuter cette tâche

Vous devez exécuter le script unica_kerbKeyGenRenew.bat script afin d'obtenir le ticket pour le principal Kerberos. Ce script a pour objectif de s'exécuter de manière continue et :
  1. de renouveler le TGT avant son délai de renouvellement ;
  2. de régénérer le jeton avant son expiration.
Par défaut, il renouvelle le ticket toutes les 24 heures et en régénère un nouveau après 7 jours. Vous pouvez également écraser le réglage par défaut afin de régénérer et de renouveler les tickets en définissant des variables d'environnement.Conditions préalables pour l'exécution du script
  1. MIT Kerberos doit être installé et configuré.
  2. Le fichier Keytab est déjà présent pour le principal en question.
  3. Les variables d'environnement suivantes sont définies :
    1. TGT_EXPIRY_DAYS : nombre de jours après lequel ce TGT va expirer et ne peut plus être renouvelé (indiquer une valeur en jours).
    2. TGT_RENEWAL_HOURS : nombre d'heures après lequel ce TGT doit être renouvelé (indiquer une valeur en heures).
    3. KRB5CCNAME : chemin d'accès au fichier cache
    4. KEYTAB_FILE_PATH : chemin d'accès au fichier Keytab pour ce principal
  4. Depuis la ligne de commande, la commande “Where kinit" doit désigner MIT Kerberos.Par exemple : C:\Kerbores\Campaign\bin>where kinitC:\Program Files\MIT\Kerberos\bin\kinit.exe
  5. Copiez le fichier Keytab dans le système Campaign correspondant au principal à authentifier.
Procédure d'exécution du script

Procédure

  1. Assurez-vous que les conditions requises sont respectées.
  2. Ensuite, exécutez la commande suivante : <campaign_home>/bin/unica_kerbKeyGenRenew.bat <principal>Par exemple : unica_kerbKeyGenRenew.bat impala/quickstart.cloudera@CLOUDERA
  3. L'exécution du script va commencer et va effectuer les opérations suivantes :
    1. Générer le TGT.
    2. Vérifier chaque minute le renouvellement et la régénération du TGT.
    3. Utiliser les valeurs dans TGT_EXPIRY_DAYS et TGT_RENEWAL_HOURS, en continuant de vérifier le renouvellement ou l'expiration.
    4. Renouveler le TGT avant la fin du délai de renouvellement. Renouveler le TGT avant la fin du délai d'expiration.
    Remarque :
    1. Les valeurs TGT_RENEWAL HOURS et TGT_EXPIRY_DAYS doivent être identiques à celles de la configuration du serveur Kerberos. Veuillez contacter l'administrateur Kerberos afin d'obtenir les valeurs.
    2. Par défaut, le script définit 24 heures pour le renouvellement de TGT et 7 jours pour TGT_EXPIRY.

    Erreurs possibles :

    1. Utilisation

    2. Principal incorrect

    3. Le fichier Keytab est absent pour le principal.

    4. Une ou plusieurs conditions requises ne sont pas définies.

    5. Le fichier Keytab n'est pas valide.