Kerberos 服务部署

最新推荐文章于 2024-08-19 17:16:42 发布
最新推荐文章于 2024-08-19 17:16:42 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: Kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/OiteBody/article/details/80936413
版权

Kerberos服务部署

系统版本:CentOS Linux release 7.2.1511

Kerberos简介

首先,我们了解下kerberos是个什么东西?

Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安全性。
Kerberos协议分为两个部分
1.Client向KDC发送自己的身份信息,KDC从Ticket Granting Service得到TGT(ticket-granting ticket), 并用协议开始前Client与KDC之间的密钥将TGT加密回复给Client。
此时只有真正的Client才能利用它与KDC之间的密钥将加密后的TGT解密,从而获得TGT。
(此过程避免了Client直接向KDC发送密码,以求通过验证的不安全方式)
2.Client利用之前获得的TGT向KDC请求其他Service的Ticket,从而通过其他Service的身份鉴别。

 Kerberos简易流程说明:


  • Client将之前获得TGT和要请求的服务信息(服务名等)发送给KDC,KDC中的Ticket Granting Service将为Client和Service之间生成一个Session Key用于Service对Client的身份鉴别。然后KDC将这个Session Key和用户名,用户地址(IP),服务名,有效期, 时间戳一起包装成一个Ticket(这些信息最终用于Service对Client的身份鉴别)发送给Service, 不过Kerberos协议并没有直接将Ticket发送给Service,而是通过Client转发给Service.所以有了第二步。
  • 此时KDC将刚才的Ticket转发给Client。由于这个Ticket是要给Service的,不能让Client看到,所以KDC用协议开始前KDC与Service之间的密钥将Ticket加密后再发送给Client。同时为了让Client和Service之间共享那个秘密(KDC在第一步为它们创建的Session Key), KDC用Client与它之间的密钥将Session Key加密随加密的Ticket一起返回给Client。
  • 为了完成Ticket的传递,Client将刚才收到的Ticket转发到Service. 由于Client不知道KDC与Service之间的密钥,所以它无法算改Ticket中的信息。同时Client将收到的Session Key解密出来,然后将自己的用户名,用户地址(IP)打包成Authenticator用Session Key加密也发送给Service。
  • Service 收到Ticket后利用它与KDC之间的密钥将Ticket中的信息解密出来,从而获得Session Key和用户名,用户地址(IP),服务名,有效期。然后再用Session Key将Authenticator解密从而获得用户名,用户地址(IP)将其与之前Ticket中解密出来的用户名,用户地址(IP)做比较从而验证Client的身份。
  • 如果Service有返回结果,将其返回给Client。

Kerberos server 搭建

注:以下搭建环境基于centos7 1511 minimal版本,内网各个主机添加了dns内部解析及ntp时间同步。

1、kerberos服务端软件包安装

yum install krb5-server krb5-libs krb5-workstation -y

2、修改/etc/krb5.conf
 
# Configuration snippets may be placed in this directory as well
#includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = TEST.COM
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 clockskew = 600


[realms]
 TEST.COM = {
  kdc = bigdatademo
  admin_server = bigdatademo
 }

[domain_realm]
 .test.com = TEST.COM
 test.com = TEST.COM
3、修改/var/kerberos/krb5kdc/kdc.conf
主要修改realm为TEST.COM

配置样例:

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 TEST.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  max_life = 1d
  max_renewable_life = 7d
  supported_enctypes = aes256-cts:normal aes128-cts:normal arcfour-hmac:normal
  default_principal_flags = +renewable, +forwardable
 }

4、修改/var/kerberos/krb5kdc/kadm5.acl,设置database administrator的ACL权限

*/admin@ZQYKJ.COM	*
 代表名称匹配*/admin@TEST.COM都认为是admin,权限是*(所有)

5、创建数据库,/user/sbin/kdb5_util create -s 需要输入database master的密码
 路径保存为:/var/kerberos/krb5kdc,如果需要重新建立数据库,把principal下相关文件删除即可
 

6、开启kerberos

systemctl restart krb5kdc
systemctl restart kadmin
systemctl enable krb5kdc

systemctl enable kadmin

现在KDC已经在工作了,两个daemons将会在后台运行,可以查看他们的日志文件/var/log/krb5kdc.log、/var/log/kadmind.log


7、使用本地方式添加admin权限用户

# kadmin.local -q "addprinc oiteboy/admin"
Authenticating as principal root/admin@TEST.COM with password.
WARNING: no policy specified for oiteboy/admin@TEST.COM; defaulting to no policy
Enter password for principal "oiteboy/admin@TEST.COM": 
Re-enter password for principal "oiteboy/admin@TEST.COM": 
Principal "oiteboy/admin@TEST.COM" created.

8、检查kdc是否OK

kinit 获取票据到缓存中
# kinit oiteboy/admin
Password for oiteboy/admin@TEST.COM: 

klist 查看缓存中的内容
# klist -e
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: oiteboy/admin@TEST.COM
Valid starting       Expires              Service principal
07/06/2018 10:11:58  07/07/2018 10:11:58  krbtgt/TEST.COM@TEST.COM
renew until 07/13/2018 10:11:58, Etype (skey, tkt): aes128-cts-hmac-sha1-96, aes128-cts-hmac-sha1-96 

Kerberos client搭建

1、客户端安装

yum install krb5-workstation

2、复制Kerberos server的/etc/krb.conf到client的/etc/krb.conf

在kerberos server/client添加主机名映射到 /etc/hosts

3、authenticate the admin user with kerberos

# kinit oiteboy/admin

Password for oiteboy/admin@TEST.COM:

# kadmin 
Authenticating as principal oiteboy/admin@TEST.COM with password.
Password for oiteboy/admin@TEST.COM: 
kadmin:  listprincs 

管理kerberos principal

  • kerberos server管理kerberos principal
kadmin.local进入
  • 创建service principal
addprinc -randkey $principalname/$servicehost@realm
  • 创建普通principal
addprinc -pw $passwd $princpalname
  • 改变principal
modprinc -pw $passwd $principalname
  • 改密码
cpw -pw $passwd $principalname
  • 查看principal
listprincs

创建principal和生成keytab文件


创建principal

addprinc -randkey hadoop/test@TEST.COM

创建keytab文件

# ktadd -norandkey -k /root/hadoop.keytab hadoop/test@TEST.COM
验证keytab文件是否生效
# klist -kt /root/hadoop.keytab

将kerberos server主机下的/root/hadoop.keytab拷贝到主机test上。
根据keytab获取KDC的ticket
# kinit -kt /root/hadoop.keytab host/test@TEST.COM
查看kerberos服务端对应日志,确认鉴权成功




AlferWei
关注
专栏目录
kerberos安装配置、配置kerberos server、client、日常操作与常见问题、卸载kerberos、hive整合kerberos
涂作权的博客
10-01 1435
3.3.安装配置 安装kerberos前,要确保主机名可以被解析。 主机名 内网IP 角色 bigdata1 192.168.106.134 master KDC ,kerberos client bigdata2 192.168.106.135 kerberos client 3.4.配置Kerberos Server 3.4.1.确保环境可用 确保所有的clients与servers之间的时间同步以及DNS正确解析。 3.4.2.在bigdata1上安装KDC 在hadoop1主
kerberos-docker:用于kerberos服务器的轻量级docker映像
05-09
kerberos-docker 基于Alpine Linux的轻量级Kerberos Server docker映像。 用法 Docker映像根据以下环境变量配置kadmind和krb5kdc服务器并启动服务器。 环境变量 默认值 描述 REALM_NAME Example.COM 领域名称 ...
Kerberos 部署
记录点点滴滴
04-11 837
安装 Kerberos 切换到 root 主节点 从节点 修改配置文件 服务端主机 ( cpu102 ) 客户端主机 初始化 KDC 数据库 修改管理员权限配置文件 启动Kerberos相关服务 创建 Kerberos 管理员用户 使用入门 Kerberos 数据库操作 登录数据库 创建Kerberos主体 Kerberos 认证操作 密码认证 密钥文件认证 销毁凭证
单点登录(SSO)详解——超详细
最新发布
modi000的博客
08-19 2672
当然仅此是不够的,因为不同的应用系统有着不同的域名,尽管 Session 共享了,但是由于 Session ID 是往往保存在浏览器 Cookie 中的,因此存在作用域的限制,无法跨域名传递,也就是说当用户在 app1.com 中登录后,Session ID 仅在浏览器访问 app1.com 时才会自动在请求头中携带,而当浏览器访问 app2.com 时,Session ID 是不会被带过去的。用户统一在认证中心进行登录,登录成功后,认证中心记录用户的登录状态,并将 Token 写入 Cookie。
docker部署kerberos,群晖nas中nfs开启kerberos校验
Vv的博客
12-01 1720
nas开启nfs存储共享,默认情况下只能给IP/24做限制, 达不到安全效果需要增加kerberos策略校验。
kerberos 部署
heqingcool的博客
06-07 554
kerberos部署 选择worker1节点作为kerberos服务端 #安装kerberos软件 yum -y install krb5-server krb5-libs krb5-auth-dialog krb5-workstation #安装sasl工具,impala启用kerberos时需要sasl工具 yum -y install cyrus-sasl-plain cyrus-sasl-devel cyrus-sasl-gssapi cyrus-sasl-md5 修改/etc/krb5.conf
使用Docker创建Kerberos认证中心
杂记
02-28 2161
使用Docker创建Kerberos认证中心使用Docker创建Kerberos认证中心1、构建KDC中心2、创建Kerberos客户端client 使用Docker创建Kerberos认证中心 使用Docker构建Kerberos KDC中心以及客户端。 1、构建KDC中心 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: FROM centos:7 RUN yum install -y krb5-server
大数据平台kerberos安装部署文档.docx
10-30
【大数据平台Kerberos安装部署Kerberos是一种网络认证协议,主要应用于大型分布式系统,如大数据平台,提供安全的身份验证。在大数据环境中,Kerberos可以确保数据的安全传输和访问控制,防止未授权的访问。 **...
大数据平台-kerberos安装部署文档.pdf
10-02
大数据平台-Kerberos安装部署文档 本文档介绍了大数据平台-Kerberos的安装部署过程,包括环境准备、Kerberos安装配置、主KDC服务器配置等步骤。 一、环境准备 1. 操作系统:CentOS release 6.5 (Final)版本 2. ...
Kerberos部署.docx
05-02
Kerberos部署详解》 Kerberos协议是网络身份验证的一种强大工具,尤其在多服务环境中,其Single Sign-On(SSO)功能为用户提供了一种便捷且安全的身份验证方式。用户只需一次登录,即可访问多个受保护的服务,极...
kerberos服务的安装部署
weixin_42728895的博客
03-08 490
Kerberos Master 1.yum安装服务 yum install -y krb5-server krb5-libs krb5-workstation 2.修改/etc/krb5.conf(只修改中文注释下面的就可以,其余的可以采取默认方式) includedir /etc/krb5.conf.d/ [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/
Kerberos安装及使用2(Kerberos服务器KDC安装及配置)
u011250186的博客
11-25 3761
Kerberos安装及使用2(Kerberos服务器KDC安装及配置)
kerberos
哇哈哈
10-29 3623
https://www.cnblogs.com/artech/archive/2007/07/05/807492.html https://www.cnblogs.com/-qing-/p/11349134.html https://ieevee.com/tech/2016/06/07/kerberos-1.html https://blog.csdn.net/czz1141979570/arti...
探索Kerberos与Docker的完美融合 —— Kerberos/Docker项目深度解析
gitblog_00097的博客
06-25 555
探索Kerberos与Docker的完美融合 —— Kerberos/Docker项目深度解析 kerberos-dockerRun kerberos environment in docker containers项目地址:https://gitcode.com/gh_mirrors/ke/kerberos-docker ???? 项目介绍 在当今复杂多变的技术环境中,整合多种平台和系统的需求日益增...
Centos7.9安装kerberos
刘大猫
06-20 1566
假设我们公司有自己的门户网站,现在我们收购了一家公司,他们数据库采用ldap存储用户数据,那么为了他们账户能登陆我们公司项目所以需要集成,而不是再把他们的账户重新在mysql再创建一遍,万一人家有1W个账户呢,不累死了且也不现实啊。:这个文章是真实可行的,但是有执行顺序,一定要先安装“Openldap安装部署”+“Kerberos基本原理、安装部署及用法”之后,确保安装无误后再去安装“Openldap集成Kerberos”。例如,KDC的位置,Kerberos的admin realms等。
kerberos server 安装配置
玩物
04-10 2019
kerberos安装联网安装 kerberossudo apt-get install krb5-kdc krb5-admin-server 安装which kinit 查看是否安装成功一、kerberos配置   默认安装路径为 /etc/ker5kdc1、/etc/krb5.conf 若没有此文件则自己创建[kdc] profile = /etc/krb5kdc/kdc.conf [...
Kerberos 连接注册服务主体名称
weixin_33859665的博客
04-15 126
Kerberos 连接注册服务主体名称 SQL Server 2012     引自:http://technet.microsoft.com/zh-cn/library/ms191153.aspx   若要将 Kerberos 身份验证用于 SQL Server,则以下两个条件都必须得到满足: 客户端计算机和服务器计算机必须属于同一 Wind...
Kerberos术语
ArmWatt的博客
07-08 234
Kerberos术语
飞腾安装Kerberos
qq_29989725的博客
01-15 298
准备安装包 krb5-admin-server_1.13.2+dfsg-5ubuntu2.1_arm64.deb krb5-kdc_1.13.2+dfsg-5ubuntu2.1_arm64.deb 源 dpkg-scanpackages -t deb . | gzip -9c > Packages.gz apt update 安装 apt install krb5-kdc krb5-adm...
kerberos部署
10-19
Kerberos部署需要以下步骤: 1. 安装Kerberos相关服务,包括KDC(Key Distribution Center)和客户端工具。 2. 在KDC所在主机上创建管理员账户,并生成密钥文件(keytab)。 3. 在服务端主机上修改kadm5.acl文件,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值