MacOS Sierra & Kerberos - PullRequest
Новая
       9

MacOS Sierra & Kerberos

0 голосов
/ 19 сентября 2018

Я использую MacOs High Sierra 10.13

Мне нужен удаленный доступ к веб-интерфейсу с керберизацией (конкретный интерфейс Hadoop Cluster / Ambari / Oozie Service)
Для этого мне сначала нужно отредактировать / настроитьфайл конфигурации kerberos для добавления области перед правильным вызовом kinit.Я внимательно посмотрел, файл конфигурации Kerberos отсутствует в системе: нигде нет следа файла с именем "edu.mit.Kerberos", а не "krb5.conf".

Но, тем не менее, вызов kinit выводит это: 

user@MBP:~$ kinit
kinit: krb5_get_default_principal: Configuration file does not specify default realm

Мне действительно любопытно, где файл конфигурации скрыт, если он когда-либо существует.

В любом случае, я попытался создать и /etc/krb.conf и / Library / Preferences / edu.mit.Kerberos с моей конфигурацией области, но я продолжаю получать один и тот же вывод.

Я даже не уверен, что kerberos по умолчанию установлен должным образом в этой версии MacOS, но у меня есть команды klist и kinit изначально в usr / bin.

Я также пытался выгрузить / перезагрузитьслужба kerberos, но соответствующие файлы plist также не существуют 

sudo launchctl unload /System/Library/LaunchDaemons/edu.mit.Kerberos.kadmind.plist
sudo launchctl unload /System/Library/LaunchDaemons/edu.mit.Kerberos.krb5kdc.plist
sudo launchctl load /System/Library/LaunchDaemons/edu.mit.Kerberos.kadmind.plist
sudo launchctl load /System/Library/LaunchDaemons/edu.mit.Kerberos.krb5kdc.plist

все дают 

No such file or directory

Я ознакомился с официальной документацией MIT здесь и здесь но это не очень помогло.Также я советую использовать утилиту «Mac OS X Kerberos Extras», но я специалист по терминалам, я действительно предпочитаю понимать, что я делаю, где находятся файлы conf и что на самом деле происходит.

Любая помощь или достойная документация приветствуется.Спасибо

Ответы [ 2 ]

0 голосов
/ 03 июля 2019

В какой-то момент Apple переименовала демоны запуска Kerberos в com.apple, например, com.apple.Kerberos.kcm.plist для демона credential-cache.

0 голосов
/ 19 сентября 2018

У нас был некоторый опыт этого и «худых» документов, где я нахожусь ...

Вы можете написать /etc/krb5.conf, например: 

[libdefaults]
  dns_lookup_kdc = false
  dns_lookup_realm = false
  ticket_lifetime = 86400
  renew_lifetime = 604800
  forwardable = true
  default_tgs_enctypes = aes256-cts
  default_tkt_enctypes = aes256-cts
  permitted_enctypes = aes256-cts
  udp_preference_limit = 1
  kdc_timeout = 3000
[realms]
  NODE.EXAMPLE.COM = {
    kdc = tcp/example.com:port
  }

Вв нашем случае мы подключаемся через ssh, поэтому у меня есть: kdc = tcp/localhost:11006 где это туннелирует к коробке / порту, на котором запущен kdc.Тогда kinit USERNAME@REALM

https://developer.mozilla.org/en-US/docs/Mozilla/Integrated_authentication может быть полезным после этого.

...