--negotiate with curl을 사용할 때 keytab 파일이 필요합니까? 엔드 포인트를 고정 된 Kerberos를 연결하는 방법을 설명

Question

는

documentation 다음 보여준다

curl -i --negotiate -u : "http://<HOST>:<PORT>/webhdfs/v1/<PATH>?op=..." 

-u 플래그가 제공되어야하지만, 말림에 의해 무시된다.

--negotiate 옵션을 사용하면 curl이 kinit 명령으로 미리 생성 된 키탭을 찾지 않거나 자격 증명을 묻는 메시지가 표시됩니까?

키탭 파일을 찾으면 어떤 파일 이름을 찾고 있습니까?

Answer 1

해당 지역의 curl에 기고가되어 한 번 참여하고 있습니다. 여기에 알아 두어야 할 사항이 있습니다.

curl(1) 자체는 Kerberos에 대해 전혀 모르고 있으며 자격증 명 캐시 나 키탭 파일과 상호 작용하지 않습니다. 모든 호출을 GSS-API 구현에 위임하여 마법을 수행합니다. 어떤 마법은 도서관, Heimdal 및 MIT Kerberos에 달려 있습니다.

귀하의 질문에 근거하여 귀하는 Kerberos에 대한 지식이 거의없고 SPNEGO가 확보 한 REST 엔드 포인트에 대한 API 호출을 자동화하기를 원합니다.

1. 는
2. 확인
3. 적어도 MIT Kerberos를 1.11
4. MIT에서 Kerberos에 대해 적어도 curl 7.38.0을 설치합니다 유닉스 계열 OS 유무 : 여기
   은 당신이해야 할 것입니다 이 curl --version은 GSS-API 및 SPNEGO이고 MIT Kerberos 버전과 연결된 ldd입니다.
5. 은 티켓 캐시를 가지고 klist으로 확인 kinit -k -t <path-to-keytab> <principal-from-keytab>
6. 하여 해당 클라이언트 키 탭으로 TGT를 얻기 위해 ktutil 또는 mskutil
7. 시도와 서비스 주체의 클라이언트 키 탭 만들기

환경 준비 완료 :

8. 수출 KRB5CCNAME=<some-non-default-path>
9. 수출 KRB5_CLIENT_KTNAME=<path-to-keytab>
10. 호출 curl --negotiate -u : <URL>

MIT Kerberos는, 당신의 키 탭으로 TGT를 얻을 자동으로 그들을 검사, 두 환경 변수가 설정되어 있는지 감지 서비스 티켓을 요청하고 curl에 전달합니다. 너 끝났어.

참고 : Heimdal에서는 작동하지 않습니다.

Answer 2

1. 확인 컬 버전

   $ curl -V - 그것은 기능을 지원한다

2. 로그인 kinit

   사용 "GSS는-협상"$ kinit <user-id>

3. 사용

   컬

   $ curl --negotiate -u : -b ~/cookiejar.txt -c ~/cookiejar.txt http://localhost:14000/webhdfs/v1/?op=liststatus

   는 "--negotiate"옵션 SPNEGO

   수 있습니다

   "-u"옵션 (kinit를하는 동안 지정한 원리를 사용)

   "-b"& "-c"필요하지만 무시된다 옵션은 http 쿠키를 저장하고 전송하는 데 사용됩니다.