Windows でのシームレスな Kerberos 接続

このタスクについて

unica_kerbKeyGenRenew.bat スクリプトを実行して Kerberos プリンシパルのチケットを取得する必要があります。このスクリプトの目的は連続して実行することと、次のことです。

デフォルトでは、チケットは 24 時間ごとに更新され、新しいチケットが 7 日後に再生成されます。環境変数を設定することで、チケットの再生成および更新のデフォルト設定を上書きすることもできます。
スクリプトの実行の前提条件

MIT Kerberos がインストールおよび構成されている必要がある。
Keytab ファイルが前述のプリンシパルに対して既に存在している。
以下の環境変数が設定されている。
1. TGT_EXPIRY_DAYS: この TGT が期限切れになり、更新できなくなるまでの日数 (日単位の値を指定)
2. TGT_RENEWAL_HOURS: この TGT が更新される必要のある範囲内の時間数 (時間単位の値を指定)
3. KRB5CCNAME: キャッシュ・ファイルのパス
4. KEYTAB_FILE_PATH: このプリンシパル用のキータブ・ファイルのパス
コマンド・ラインからの “Where kinit” コマンドの実行は MIT Kerberos
を指す必要がある。例: C:\Kerbores\Campaign\bin>where kinit
C:\Program Files\MIT\Kerberos\bin\kinit.exe
Keytab ファイルを認証するプリンシパル用の Campaign システムにコピーする。

スクリプトの実行手順

前提条件を満たしていることを確認します。
以下のコマンドを実行します。
<campaign_home>/bin/unica_kerbKeyGenRenew.bat <principal>
以下に例を示します。 unica_kerbKeyGenRenew.bat impala/quickstart.cloudera@CLOUDERA
スクリプトが実行を開始し、次のことを行います。
1. TGT を生成します。
2. 1 分ごとに、TGT の更新および再生成をチェックします。
3. TGT_EXPIRY_DAYS および TGT_RENEWAL_HOURS の値を使用して、更新または期限切れをチェックし続けます。
4. 更新期限の前に、TGT を更新します。
  期限切れの前に、TGT を再生成します。
注:
1. TGT_RENEWAL HOURS および TGT_EXPIRY_DAYS の値は Kerberos サーバーの構成と同じである必要があります。Kerberos 管理者に問い合わせて、この値を入手してください。
2. デフォルトのスクリプトでは、TGT 更新に 24 時間、TGT_EXPIRY に 7 日が設定されています。
考えられるエラー:

1. 使用方法

2. プリンシパルが正しくない

3. キータブ・ファイルがプリンシパルに対して存在しない

4. 1 つ以上の前提条件が設定されていない

5. キータブ・ファイルが無効である