本文已参与「新人创作礼」活动,一起开启掘金创作之路。
概述
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份验证。 这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够相互认证,即客户端和服务器端均可对对方身份进行认证。 可以用于防窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。
概念
KDC
密钥分发中心,负责管理发放票据,记录授权
域
Kerberos管理领域的标识。
principal
当每添加一个用户或服务的时候需要向kdc添加一条principal,principal的形式为:主名称/实例名@领域名。
主名称
可以是用户名或服务名,可以是单词host,表示是用于提供各种网络服务(如hdfs,yarn,hive)的主体
实例名
可以理解为主机名
领域
Kerberos的域
HttpURLConnection 简介
sun.net.www.protocol.http.HttpURLConnection是jdk中默认执行请求时使用。此HttpURLConnection 支持多种权限认证方案,Negotiate(Kerberos)、Basic、Digest认证,本节主要介绍Negotiate(Kerberos)。
示例代码
- 开启kerberos的服务
- 配置krb5.conf文件
import sun.misc.IOUtils;
import java.io.IOException;
import java.io.InputStream;
import java.net.HttpURLConnection;
import java.net.URL;
/**
* @author
* @description
* @create 2021-07-13 17:20
**/
public class URLTest {
public static void main(String[] args) throws IOException {
if (args.length > 0) {
System.setProperty("java.security.auth.login.config", args[0]);
}
HttpURLConnection connection = null;
URL url = new URL("http://master-55:50070");
connection = (HttpURLConnection) url.openConnection();
connection.setRequestMethod("GET");
InputStream is = connection.getInputStream();
byte[] bytes = IOUtils.readFully(is, -1, true);
String str = new String(bytes);
System.out.println("返回结果" + str);
is.close();
}
}
认证方案
- 执行kinit
kinit -kt /admin.keytab admin
java -jar admin.jar
-
传递参数
1、 创建文件http.conf
com.sun.security.jgss.krb5.initiate {
com.sun.security.auth.module.Krb5LoginModule required
useKeyTab=true
useTicketCache=false
keyTab=" /admin.keytab"
principal="admin@HADOOP.COM";
};
java -jar admin.jar /http.conf
扩展
| 序号 | 配置项 | 说明 |
|---|---|---|
| 1 | sun.security.krb5.principal | 覆盖配置文件中的principal |
| 2 | {user.home}{file.separator}krb5.keytab | 如果配置文件中没有配置keytab路径时默认位置 |
| 3 | libdefaults.default_keytab_name | krb5.conf中的默认配置项 |
