「深度学习福利」大神带你进阶工程师，立即查看>>>
假定前提
1：你已经知道kerberos是做什么的，有什么用了。
2：操作者叫 zhangsan

常用命令
命令 说明 kdestroy 删除票据
kinit zhangsan {需要密码}获取张三的票据
票据有效期使用的是默认值，此处是12小时
kinit -l 1h zhangsan 获取张三的票据，指定过期时间是1小时
过期时间的单位有 s秒 m分钟 h小时 d天
如果时间超过设置最大值，使用最大值
klist 查看票据
Valid starting 生效时间
Expires 过期时间
renew until 在此时间之前都可以免密续期
kinit -R 续期，注意不会改变renew until






客户端的配置文件是 /etc/krb5.conf

Kerberos 凭证(ticket) 有两个属性， ticket_lifetime 和 renew_lifetime。其中 ticket_lifetime 表明凭证生效的时限，一般为24小时。在凭证失效前部分凭证可以延期失效时间(即Renewable)， renew_lifetime 表明凭证最长可以被延期的时限，一般为一个礼拜。当凭证过期之后，对安全认证的服务的后续访问则会失败。

免密登录 # 删除票据 kdestroy ###################### # 管理票据，进入ktutil ktutil # 添加票据 add_entry -password -p {用户名} -k 1 -e aes128-cts add_entry -password -p zhangsan -k 1 -e aes128-cts # 会提示输入密码 Password .... # 票据保存到文件 write_kt /opt/priv.k # 退出 ktutil q ###################### # 查看票据 klist -kt /opt/priv.k -e # 使用票据授权 kinit -kt /opt/priv.k zhangsan # 查看系统票据 klist -e

注意：遇见错误提示
kinit: Key table entry not found while getting initial credentials
是因为加密方式不对，服务端对加密方式有了限制，我们在使用 aes256-cts-hmac-sha1-96 的时候出现了这个错误提示


参考文章
https://docs.oracle.com/cd/E56344_01/html/E54075/kinit-1.html 中文手册
https://blog.51cto.com/caiguangguang/1383723 kerberos的tgt时间理解
https://www.cnblogs.com/morvenhuang/p/4607790.html Kerberos ticket lifetime及其它
https://blog.csdn.net/woloqun/article/details/103277813 深入理解kerberos票据生命周期
https://www.jianshu.com/p/54cd2a659698 Kerberos ticket 生命周期