【kerberos】Kerberos安装使用详解及遇到的问题

已于 2023-11-20 14:04:54 修改
阅读量5.5k 收藏 26
点赞数 2
分类专栏: linux ldap+kerberos 文章标签: linux kerberos
于 2021-03-18 18:35:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mrerlou/article/details/114986255
版权

文章目录

一、Kerberos协议:

Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安全性。

二、环境信息:

信息版本
操作系统centos6.9
服务器类型虚拟机
CDH5.13
节点数量5

节点信息:

ip主机名角色
10.12.24.209dx-dev-test1029client
10.12.25.208dx-dev-test1026client
10.12.25.209dx-dev-test1030client
10.12.26.208dx-dev-test1027client
10.12.27.208dx-dev-test1028server

三、安装kerberos

使用yum安装kerberos

1. server服务端安装:

yum install krb5-server

2. client客户端安装

注:server节点也是client节点,也是需要安装

yum install krb5-workstation krb5-libs krb5-auth-dialog

3. 服务端节点配置

(1) 修改/etc/krb5.conf

/etc/krb5.conf: 包含Kerberos的配置信息。例如,KDC的位置,Kerberos的admin的realms 等。需要所有使用的Kerberos的机器上的配置文件都同步。这里仅列举需要的基本配置。
注意修改:红色的标记
在这里插入图片描述

文件内容如下:

[libdefaults]
default_realm = RONG360.COM
dns_lookup_kdc = false
dns_lookup_realm = false
ticket_lifetime = 86400
renew_lifetime = 604800
forwardable = true
default_tgs_enctypes = aes128-cts aes256-cts-hmac-sha1-96 des3-hmac-sha1 arcfour-hmac
default_tkt_enctypes = aes128-cts aes256-cts-hmac-sha1-96 des3-hmac-sha1 arcfour-hmac
permitted_enctypes = aes128-cts aes256-cts-hmac-sha1-96 des3-hmac-sha1 arcfour-hmac
udp_preference_limit = 1
kdc_timeout = 60000
[realms]
RONG360.COM = {
kdc = dx-dev-test1028
admin_server = dx-dev-test1028
}
[domain_realm]
~

说明:

  • [logging]:表示server端的日志的打印位置
  • [libdefaults]:每种连接的默认配置,需要注意以下几个关键的小配置
  • default_realm = HADOOP.COM 默认的realm,必须跟要配置的realm的名称一致。
  • udp_preference_limit = 1 禁止使用udp可以防止一个Hadoop中的错误
  • oticket_lifetime表明凭证生效的时限,一般为24小时。
  • orenew_lifetime:表明凭证最长可以被延期的时限,一般为一个礼拜。当凭证过期之后,对安全认证的服务的后续访问则会失败。
  • [realms]:列举使用的realm。
  • kdc:代表要kdc的位置。格式是 机器:端口
  • admin_server:代表admin的位置。格式是机器:端口
  • default_domain:代表默认的域名,为该主机提供的服务提供从主机名到 Kerberos 领域名称的转换。
  • [appdefaults]:可以设定一些针对特定应用的配置,覆盖默认配置。

udp_preference_limit = 1 kdc原生支持tcp/udp协议,客户端访问kdc服务时,默认先使用udp协议发起请求,如果数据包过大或者请求失败,然后再换用tcp协议请求。网络条件不好,如果使用udp容易出现丢包现象。

(2) 修改/var/kerberos/krb5kdc/kdc.conf

默认放在 /var/kerberos/krb5kdc/kdc.conf。或者通过覆盖KRB5_KDC_PROFILE环境变量修改配置文件位置。
文件内容如下:
在这里插入图片描述
文件内容如下:

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 RONG360.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
}

说明:

  • RONG360.COM:是设定的realms。名字随意。Kerberos可以支持多个realms,会增加复杂度。本文不探讨。大小写敏感,一般为了识别使用全部大写。这个realms跟机器的host没有大关系。
  • max_renewable_life = 7d 涉及到是否能进行ticket的renwe必须配置。
  • master_key_type:和supported_enctypes默认使用aes256-cts。由于,JAVA使用aes256-cts验证方式需要安装额外的jar包,更多参考2.2.9关于AES-256加密:。推荐不使用。
  • acl_file:标注了admin的用户权限。文件格式是
  • Kerberos_principal permissions [target_principal] [restrictions]支持通配符等。
  • admin_keytab:KDC进行校验的keytab。后文会提及如何创建。
  • supported_enctypes:支持的校验方式。注意把aes256-cts去掉。
(3) 修改/var/kerberos/krb5kdc/kadm5.acl

编辑 Kerberos 访问控制列表文件 (kadm5.acl) 文件应包含允许管理 KDC 的所有主体名称。
在这里插入图片描述
文件内容如下:

*/admin@RONG360.COM     *

注:客户端节点只需要 /etc/krb5.conf 文件。

4.创建/初始化Kerberos database

初始化并启动:完成上面三个配置文件后,就可以进行初始化并启动了。

创建命令:

kdb5_util create -s -r RONG360.COM

其中,[-s]表示生成stash file,并在其中存储master server key(krb5kdc);还可以用[-r]来指定一个realm name —— 当krb5.conf中定义了多个realm时才是必要的。

#保存路径为/var/kerberos/krb5kdc 如果需要重建数据库,将该目录下的principal相关的文件删除即可

在此过程中,我们会输入database的管理密码。这里设置的密码一定要记住,如果忘记了,就无法管理Kerberos server。

当Kerberos database创建好后,可以看到目录 /var/kerberos/krb5kdc 下生成了几个文件:

kadm5.acl 
kdc.conf 
principal 
principal.kadm5 
principal.kadm5.lock 
principal.ok

5. 重启服务

重启服务

service krb5kdc start 或 systemctl start  krb5kdc
service kadmin start 或 systemctl start  kadmin

6. 设置开机启动

设置开机自动启动:

chkconfig krb5kdc on 或 systemctl enable krb5kdc
chkconfig kadmin on 或 systemctl enable kadmin

现在KDC已经在工作了。这两个daemons将会在后台运行,可以查看它们的日志文件(/var/log/krb5kdc.log/var/log/kadmind.log)。

可以通过命令kinit来检查这两个daemons是否正常工作。

7. 添加database administrator

我们需要为Kerberos database添加administrative principals (即能够管理database的principals) —— 至少要添加1个principal来使得Kerberos的管理进程kadmind能够在网络上与程序kadmin进行通讯。

在maste KDC上执行:

/usr/sbin/kadmin.local -q "addprinc admin/admin"

通过上面的命令为其设置密码

kadmin.local

可以直接运行在master KDC上,而不需要首先通过Kerberos的认证,实际上它只需要对本地文件的读写权限。

8. 客户端阶段配置

将之前修改的/etc/krb5.conf 拷贝到从节点。

四、kerberos日常操作

1. 管理员操作

登陆

登录到管理员账户: 如果在本机上,可以通过kadmin.local直接登录。其它机器的,先使用kinit进行验证。
在这里插入图片描述
在这里插入图片描述

增删改查账户

在管理员的状态下使用addprinc,delprinc,modprinc,listprincs命令。使用?可以列出所有的命令。

kadmin.local -q "addprinc -pw 111111 test"
kadmin.local: delprinc test
kadmin.local: listprincs
生成keytab:使用xst命令或者ktadd命令
ktadd -k /home/test/test.keytab -norandkey test
合并key

合并hadoop.keytab和HTTP.keytab为hdfs.keytab。

ktutil
rkt hadoop.keytab
rkt HTTP.keytab
wkt hdfs.keytab

2. 用户操作

查看当前的认证用户

在这里插入图片描述

认证用户
kinit -kt /xx/xx/kerberos.keytab hdfs/hadoop1
删除当前的认证的缓存
kdestroy

修改krbtgt的maxrenewlife

kadmin.local -q 'modprinc -maxrenewlife "7d" krbtgt/RONG360.COM'

修改凭据的maxrenewlife

这里需要看自己的hue的用户主体是什么,换成自己的

 kadmin.local -q 'modprinc -maxrenewlife 7day +allow_renewable <principal_name>'

修改凭据的ticket_lifetime

 kadmin.local -q 'modprinc -maxlife 6minutes <principal_name>'

五、常见问题

1. 查看ticket是否是renewable

通过klist命令来查看

在这里插入图片描述

如果Valid starting的值与renew until的值相同,则表示该principal的ticket 不是 renwable。

2. ticket无法更新

如果过了Expires,可以通过命令kinit –R来更新ticket
但如果ticket无法更新

[root@vmw201 ~]$ kinit -R
kinit: Ticket expired while renewing credentials

这是因为krbtgt/HADOOP.COM@ HADOOP.COM的[renewlife]被设置成了0,这一点可以通过[kadmin.local => getprinc krbtgt/ HADOOP.COM @ HADOOP.COM]看出来。

将krbtgt/HADOOP.COM@HADOOP.COM的[renewlife]修改为7days即可。

kadmin.local: modprinc -maxrenewlife 1week krbtgt/HADOOP.COM@HADOOP.COM

3. CDH安装Kerberos后,重启集群报错

ocket Reader #1 for port 8022: readAndProcess from client 192.168.50.83 threw exception [javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: Failure unspecified at GSS-API level (Mechanism level: Encryption type AES256 CTS mode with HMAC SHA1-96 is not supported/enabled)]]
Socket Reader #1 for port 8020: readAndProcess from client 192.168.50.77 threw exception [javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: Failure unspecified at GSS-API level (Mechanism level: Encryption type AES256 CTS mode with HMAC SHA1-96 is not supported/enabled)]]

原因:
因为系统采用的是Centos7.6,对于使用Centos5.6及以上西戎,默认采用 AES-256 来加密;这就需要CDH集群所有的节点都安装 Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy File
下载链接:

https://www.oracle.com/technetwork/java/javase/downloads/index.html

解决办法:
1.下载的文件是个zip包,解压
在这里插入图片描述2.将解压后的 UnlimitedJCEPolicyJDK8 文件下的两个jar包 复制到 $JAVA_HOME/jre/lib/security/
#我的JAVA_HOME=/opt/module/jdk1.8.0_144

cp UnlimitedJCEPolicyJDK8/*.jar /opt/module/jdk1.8.0_144/jre/lib/security/

3.如果你的JAVA_HOME不是在/usr/java下,那么还需要进行一步操作
mkdir /usr/java
#创建软链接指向自己的JAVA_HOME

ln -s /opt/module/jdk1.8.0_144/ default

在这里插入图片描述

4. javax.security.auth.login.LoginException: Could not login: the client is being asked for a password

问题描述:
Kafka 集成 kerberos 报错。报错内容如上。

解决方案:

  • 确认/etc/kafka/kafka_server_jaas.conf中的principal包含在keytab中。
  • 确认 keytab 文件权限是否正确。

5. Ticket not yet valid

问题描述:
在使用 kprop 同步数据时,报错 Ticket not yet valid.

问题原因:
同步服务器/被同步服务器时钟不一致。

解决方案:
保障同步服务器/被同步服务器的时间一致。

6. javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Fail to create credential. (63) - No service creds)]

  • 由JDK缺陷引起
  • 票证消息对于UDP协议而言太大
  • 主机未正确映射到Kerberos领域

我这里遇到的问题时:

  1. 主机未正确映射到Kerberos领域,domain_realm 这一项配置没有正确映射域名,大家这里注意一下
  2. 从主机名到 Kerberos 领域名称的转换配置了多项,导致无法正确识别Kerberos domain。
    在这里插入图片描述

7. Mechanism level: Failed to find any Kerberos credentails

  • [realms]错误配置多个kdc

8. kinit: Included profile directory could not be read while initializing Kerberos 5 library

1、查看/etc/krb5.conf下的includedir是否存在
2、查看includedir对应的路径是否正确

在这里插入图片描述
注释includedir即可。

9. error in krb5_recvauth service key not available

查看 kprop 服务时,发现抱错

systemctl status kprop

解决方案:
检查 /etc/krb5.keytab 文件是否存在,是否包含了kprop 同步所需的主体。

参考:

  • http://www.cppcns.com/os/linux/166490.html
kiraraLou
关注
专栏目录
Python confluent kafka客户端配置kerberos认证流程详解
01-19
其中第一种SASL/GSSAPI的认证就是kerberos认证,对于java来说有原生的支持,但是对于python来说配置稍微麻烦一些,下面说一下具体的配置过程,confluent kafka模块底层依赖于librdkafka,这是使用c编写的高性能的...
Centos7.9安装kerberos
刘大猫
06-20 1562
假设我们公司有自己的门户网站,现在我们收购了一家公司,他们数据库采用ldap存储用户数据,那么为了他们账户能登陆我们公司项目所以需要集成,而不是再把他们的账户重新在mysql再创建一遍,万一人家有1W个账户呢,不累死了且也不现实啊。:这个文章是真实可行的,但是有执行顺序,一定要先安装“Openldap安装部署”+“Kerberos基本原理、安装部署及用法”之后,确保安装无误后再去安装“Openldap集成Kerberos”。例如,KDC的位置,Kerberos的admin realms等。
kinit: Included profile directory could not be read while initializing Kerberos 5 library
lcm_linux的博客
06-23 3999
1、查看/etc/krb5.conf下的includedir是否存在 2、查看includedir对应的路径是否正确 如图: 此时includedir中的路径下为空,因此读取不到Kerberos的配置,会报标题中的错误 解决:注释includedir即可
Hadoop krb5.conf 配置详解
最新发布
qq_43071699的博客
10-02 1165
krb5.conf文件是Kerberos认证系统中的一个关键配置文件,它包含了Kerberos的配置信息,如KDC(Key Distribution Centers)和Kerberos相关域的管理员服务器位置、当前域和Kerberos应用的默认设置、以及主机名与Kerberos域的映射等。以下是对Hadoop环境中krb5.conf。
Kerberos安装教程与命令详解(超详细)
zcs2312852665的博客
12-27 4415
本教程介绍了如何安装和配置Kerberos身份验证系统。首先,我们搭建了一个集群,并介绍了所需的软件包。然后,我们提供了一个一键安装脚本,可以自动下载、安装和配置Kerberos服务器及客户端组件。接下来,我们详细解释了kdb5_util、kadmin、kinit和klist等常用命令的用法。:这个软件包提供了运行 Kerberos 服务器所需的组件。它包含了 KDC(Key Distribution Center)和其他必要的工具,用于管理用户凭证、颁发票据以及处理身份验证请求等。通过安装
Kerberos安装使用
u011250186的博客
11-25 3926
Kerberos安装使用
Kerberoslinux安装部署
11
10-09 3782
kerberoslinux环境安装部署 参考博客: https://zhuanlan.zhihu.com/p/425769862 https://blog.csdn.net/Michaelwubo/article/details/109621044
kerberos安装及命令
runqu的博客
03-23 1204
Kerberos是一个网络认证协议,用于在计算机网络中验证用户身份。该协议允许用户在网络上进行安全的身份验证,而不必将明文密码传输到网络上。
【清晰】Kerberos安全体系详解.pdf
07-20
3. Kerberos通信流程详解Kerberos认证流程中,所有通信都包含两部分信息:一部分是可解码的明文信息,另一部分是通过用户的密码进行加密的密文信息。通信内容包括用户名、IP地址、票据的有效时间和生命周期、会话...
kerberos Hadoop 安装教程
11-30
### Kerberos Hadoop 安装教程详解 #### 一、部署无Kerberos认证的Hadoop环境 在开始深入Kerberos与Hadoop的集成之前,我们先回顾一下如何搭建一个基本的Hadoop集群,这一步是后续进行Kerberos认证的基础。 #####...
Kerberos安装
weixin_66547608的博客
05-09 359
Kerberos Server 的安装
国产服务器安装kerberos,hadoop集成kerberos
qq_45928840的博客
10-12 724
在hdfs-site.xml中配置,默认值为file://${hadoop.tmp.dir}/dfs/data,这里我们需要修改/opt/context/software/bigdata/hadoop-3.2.3/tmp/dfs/data路径的所有者和组为hdfs:hadoop,访问权限为700。这里我们配置的路径为/opt/context/software/bigdata/hadoop-3.2.3/tmp/dfs/ha/jn,所以这里修改该路径的所有者和组为hdfs:hadoop,访问权限为700。
Kerberos安装使用2(Kerberos服务器KDC安装及配置)
u011250186的博客
11-25 3761
Kerberos安装使用2(Kerberos服务器KDC安装及配置)
Kerberos从入门到精通以及案例实操系列(一)
prefect_start的博客
06-05 6436
整个kerberos认证的过程较为复杂,三次通信中都使用了密钥,且密钥的种类一直在变化,并且为了防止网络拦截密钥,这些密钥都是临时生成的Session Key,即他们只在一次Session会话中起作用,即使密钥被劫持,等到密钥被破解可能这次会话都早已结束,这为整个kerberos认证过程保证了较高的安全性。kerberos认证的整体流图kerberos认证的时序图本地登录(无需认证)远程登录(需进行主体认证,认证操作见下文)退出输入:exit2. 创建Kerberos主体。
Kerberos安全认证-连载2-Kerberos安装使用
qq_32020645的博客
06-05 2179
Kerberos名词术语、Kerberos安装Kerberos命令使用
读《Wireshark网络分析就这么简单》读书笔记
weixin_30587927的博客
10-09 525
晚上花了两个多小时看完这本书,记录下一些看书过程中的笔记。 一、问题:A和B 是否能正常通信? 两台服务器A和服务器B的网络配置 A B 192.168.26.129 192.168.26.3 255.255.255.0 ...
kerberos验证协议安装配置使用
krb___的博客
03-18 1432
Kerberos 是一个网络身份验证协议,用于在计算机网络中进行身份验证和授权。它提供了一种安全的方式,允许用户在不安全的网络上进行身份验证,并获取访问网络资源的权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值