kerberos 认证方式-主机认证

 kerberos 认证方式-主机认证

业务系统常有这样的需求，从a机器连b机器，即ssh的方式远程调用b机器上得脚本或者命令，每次都要输入用户名和密码，很麻烦

把密码写进脚本里，人员变动之后还要改密码，这个非常麻烦，为了解决这个问题，使用kerborse认证的方式能不能也实现类似ssh免密码登陆那样的功能呢！

下面就介绍一下怎么做，一共只有两步：

1、目标机器改k5login

a机器希望连接b机器，那么需要在目标机器即b服务器某个账号下（比如root账号）的.k5login中添加a机器识别，例如，添加：

host/shnhdx21-163.opi.com@ABC.OPI.COM，这里必须注意的是“host/”是固定格式，斜杠后面的必须是hostname，而不能是ip，并且必须把大写字母改成小写。

机器名获得方法：执行hostname命令就行了，然后把大写字母改成小写。

2、在a机器上的你希望执行的脚本里加上一段命令

#!/bin/bash
export PATH="/usr/kerberos/bin:$PATH"#注意，这里前提是这台机器上已经部署了kerborse，这里是把kerborse的命令加到环境变量里。
kinit -k -t /etc/krb5.keytab#一般来讲，/etc/下有krb5.keytab，但是如果你是a机器上的普通用户，你有可能不能访问这个东西，所以解决办法是

复制一份放到你想要存放的路径，然后执行kinit -k -t /yourpath/krb5.keytab

这样，我们就能在下面写访问b机器的命令了

具体例子：10.4.16.136想要无密码访问10.4.19.87

在10.4.19.87的root账户下的.k5login中添加

  host/shnhdx21-163.opi.com@ABC.OPI.COM

在10.4.16.136上编写脚本：

这样就能正常执行了。

更多请参考http://blog.csdn.net/guoqiangma/article/category/2177301