Kerberos 基本安装与配置

最新推荐文章于 2024-03-11 23:01:29 发布
最新推荐文章于 2024-03-11 23:01:29 发布
阅读量2.7w 收藏 21
点赞数 5
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Post_Yuan/article/details/54406148
版权

由于最近环境需要用到Kerberos认证,之前对Kerberos这块了解甚少,今天抽空自己手动安装一下Kerberos,以此加深对Kerberos的理解。

1 选择一台机器运行KDC,安装Kerberos相关服务

yum install -y krb5-devel krb5-server krb5-workstation

2 配置Kerberos,包括krb5.conf和kdc.conf,修改其中的realm,把默认的EXAMPLE.COM修改为自己要定义的值

[root@cent-1 ~]# cat /etc/krb5.conf
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = TRAFKDC.COM  --修改之处
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 TRAFKDC.COM = {  --修改之处
  kdc = namenode01  --修改之处
  admin_server = namenode01  --修改之处
 }

[domain_realm]
 .TRAFKDC.com = TRAFKDC.COM  --修改之处
 TRAFKDC.com = TRAFKDC.COM  --修改之处

[root@cent-1 ~]# cat /var/kerberos/krb5kdc/kdc.conf
[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 TRAFKDC.COM = {  --修改之处
  max_life = 24h  --添加
  max_renewable_life = 7d  --添加
  default_principal_flags = +renewable --添加
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }

3 创建KDC数据库,其中需要设置管理员密码,创建完成会在/var/kerberos/krb5kdc/下面生成一系列文件,若重建数据库则需先删除/var/kerberos/krb5kdc下面principal相关文件

[root@cent-1 ~]# /usr/sbin/kdb5_util create -s
Loading random data
Initializing database '/var/kerberos/krb5kdc/principal' for realm 'TRAFKDC.COM',
master key name 'K/M@TRAFKDC.COM'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key:
Re-enter KDC database master key to verify:

[root@cent-1 ~]# ll /var/kerberos/krb5kdc/
total 24
-rw-------. 1 root root   22 Mar  9  2016 kadm5.acl
-rw-------. 1 root root  403 Jan 13 10:18 kdc.conf
-rw-------. 1 root root 8192 Jan 13 10:23 principal
-rw-------. 1 root root 8192 Jan 13 10:23 principal.kadm5
-rw-------. 1 root root    0 Jan 13 10:23 principal.kadm5.lock
-rw-------. 1 root root    0 Jan 13 10:24 principal.ok

4 给数据库管理员添加ACL权限,修改kadm5.acl文件,*代表全部权限

[root@cent-1 ~]# cat /var/kerberos/krb5kdc/kadm5.acl
*/admin@TRAFKDC.COM *

5 添加数据库管理员,注意kadmin.local可以直接运行在KDC上,而无需通过Kerberos认证

[root@cent-1 ~]# /usr/sbin/kadmin.local -q "addprinc kdcadmin/admin"
Enter password for principal "kdcadmin/admin@TRAFKDC.COM":
Re-enter password for principal "kdcadmin/admin@TRAFKDC.COM":
Principal "kdcadmin/admin@TRAFKDC.COM" created.
[root@cent-1 ~]# kadmin.local
Authenticating as principal centos/admin@TRAFKDC.COM with password.
kadmin.local:  listprinc
kadmin.local: Unknown request "listprinc".  Type "?" for a request list.
kadmin.local:  listprincs
K/M@TRAFKDC.COM
kdcadmin/admin@TRAFKDC.COM
kadmin/admin@TRAFKDC.COM
kadmin/cent-1.novalocal@TRAFKDC.COM
kadmin/changepw@TRAFKDC.COM
krbtgt/TRAFKDC.COM@TRAFKDC.COM

6 启动Kerberos进程并设置开机启动,通过/var/log/krb5kdc.log 和 /var/log/kadmind.log查看日志,通过kinit检查Kerberos正常运行

service krb5kdc start
service kadmin start
chkconfig krb5kdc on
chkconfig kadmin on

7 配置JCE,这是因为CentOS6.5及以上系统默认使用AES-256加密,因此需要所有节点安装并配置JCE,JCE下载路径: http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html

[root@cent-1 UnlimitedJCEPolicyJDK8]# ll
total 16
-rw-rw-r--. 1 root root 3035 Dec 21  2013 local_policy.jar
-rw-r--r--. 1 root root 7323 Dec 21  2013 README.txt
-rw-rw-r--. 1 root root 3023 Dec 21  2013 US_export_policy.jar
[root@cent-1 security]# cp /home/centos/UnlimitedJCEPolicyJDK8/ /usr/java/jdk1.8.0_11/jre/lib/security/
local_policy.jar      README.txt            US_export_policy.jar
[root@cent-1 security]# cp /home/centos/UnlimitedJCEPolicyJDK8/US_export_policy.jar /usr/java/jdk1.8.0_11/jre/lib/security/
cp: overwrite `/usr/java/jdk1.8.0_11/jre/lib/security/US_export_policy.jar'? y

8 到此,Kerberos服务端已搭好,现在选择另外一台机器安装客户端,并配置/etc/krb5.conf与KDC相同

yum install -y krb5-workstation

9 验证客户端可以访问KDC

kadmin -p 'kdcadmin/admin' -w '<kdcadmin/admin password>' -s '<kdc server ip>' -q 'list_principals'

10 kadmin生成keytab,如果是KDC上面直接运行kadmin.local,如果是在客户端先kinit再kadmin

(1)KDC

[root@cent-1 ~]# kadmin.local
Authenticating as principal trafodion/admin@TRAFKDC.COM with password.
kadmin.local:  listprincs
K/M@TRAFKDC.COM
kadmin/admin@TRAFKDC.COM
kadmin/cent-1.novalocal@TRAFKDC.COM
kadmin/changepw@TRAFKDC.COM
krbtgt/TRAFKDC.COM@TRAFKDC.COM
trafodion@TRAFKDC.COM
kadmin.local:  xst -k /opt/trafodion.keytab trafodion
Entry for principal trafodion with kvno 2, encryption type aes128-cts-hmac-sha1-96 added to keytab WRFILE:/opt/trafodion.keytab.
Entry for principal trafodion with kvno 2, encryption type des3-cbc-sha1 added to keytab WRFILE:/opt/trafodion.keytab.
Entry for principal trafodion with kvno 2, encryption type arcfour-hmac added to keytab WRFILE:/opt/trafodion.keytab.
Entry for principal trafodion with kvno 2, encryption type des-hmac-sha1 added to keytab WRFILE:/opt/trafodion.keytab.
Entry for principal trafodion with kvno 2, encryption type des-cbc-md5 added to keytab WRFILE:/opt/trafodion.keytab.

[root@cent-1 opt]# ll /opt/trafodion.keytab
-rw-------. 1 root root 279 Jan 13 13:05 /opt/trafodion.keytab

(2)Client(需先kinit)

[root@cent-2 ~]# kinit kadmin/admin
Password for kadmin/admin@TRAFKDC.COM:
[root@cent-2 ~]# kadmin
Authenticating as principal kadmin/admin@TRAFKDC.COM with password.
Password for kadmin/admin@TRAFKDC.COM:
kadmin:  addprinc centos
WARNING: no policy specified for centos@TRAFKDC.COM; defaulting to no policy
Enter password for principal "centos@TRAFKDC.COM":
Re-enter password for principal "centos@TRAFKDC.COM":
Principal "centos@TRAFKDC.COM" created.
kadmin:  listprincs
K/M@TRAFKDC.COM
centos@TRAFKDC.COM
kadmin/admin@TRAFKDC.COM
kadmin/cent-1.novalocal@TRAFKDC.COM
kadmin/changepw@TRAFKDC.COM
krbtgt/TRAFKDC.COM@TRAFKDC.COM
trafodion@TRAFKDC.COM

11 相关Kerberos命令

//添加principal
kadmin -p 'kdcadmin/admin' -w '<kdc password>' -s '<kdc server>' -q 'addprinc -randkey trafodion'
//生成keytab文件
ktadd -k /opt/trafodion.keytab trafodion
//认证用户
kinit -kt /opt/trafodion.keytab trafodion
//查看当前认证用户信息
klist
数据源的港湾
关注
  • 5
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
kerberos:启用KDC和SPNEGO的Nginx
02-20
已启用KDC和SPNEGO的Nginx 先决条件 已在以下环境中进行了测试 kdc:Ubuntu 20.04 Intel + Docker稳定版,kerberos客户端:Ubuntu 20.04 Intel kdc:Ubuntu 20.04 Intel + Docker稳定版,kerberos客户端:Macos 11.2 Apple Silicon kdc:Macos 11.2 Apple Silicon + Docker预览版3.1.0(60984),客户端:Macos 11.2 Apple Silicon 的Ubuntu sudo apt install krb5-user 苹果系统 brew install krb5 如何构建和运行(第一次) KDC和Nginx容器都使用alpine:latest基本映像。 如果您在M1 mac上构建它,它将使用高山arm64映像。 否则为
Kerberos安全认证-连载12-Kafka Kerberos安全配置及访问
qq_32020645的博客
06-22 3835
技术连载系列,前面内容请参考前面连载11内容:​​​​​​​​​​​​​​Kafka也支持通过Kerberos进行认证,避免非法用户操作读取Kafka中的数据,对Kafka进行Kerberos认证可以按照如下步骤实现。在kerberos服务端node1节点执行如下命令将Kafka服务主体写入到keytab文件。
krb5认证安装步骤
最新发布
2401_82785961的博客
03-11 344
kerberos常用操作命令
qq_37928228的博客
04-28 631
kerberos常用操作命令
Kerberos安装及使用2(Kerberos服务器KDC安装及配置)
u011250186的博客
11-25 3497
Kerberos安装及使用2(Kerberos服务器KDC安装及配置)
KerberOS Hadoop 认证安装配置
Jerry的博客
01-26 2909
1. 关闭 selinux vim /etc/sysconfig/selinux 2. 安装 yum 源配置参考 https://blog.csdn.net/Jerry_991/article/details/118910505 3. 安装 kerberos 的 server 端(一般找一台单独的机器) yum install -y krb5-ibs krb5-server krb5-workstation (查看 yum list | grep krb 中是否有安装软件) ...
hadoop之kerberos权限配置(ranger基础上)(三)
weixin_40496191的博客
01-02 3873
kerberos+ranger+kerberos权限控制
115.Kerberos的安装配置与启用
大勇若怯任卷舒
08-15 716
代码】115.Kerberos的安装配置与启用。
101.Spark2Streaming在Kerberos环境下的读写
大勇若怯任卷舒
02-14 1127
101.1 演示环境介绍 CM版本:5.14.3 CDH版本:5.14.2 CDK版本:2.2.0 Apache Kafka版本:0.10.2 SPARK版本:2.2.0 Redhat版本:7.3 已启用Kerberos,用root用户进行操作 101.2 操作演示 1.准备环境 使用xst命令导出keytab文件,准备访问Kafka的Keytab文件 [root@cdh01 ~]# kadmin.local Authenticating as principal hbase/admin@FAYS
Kerberos安全认证-连载11-HBase Kerberos安全配置及访问
qq_32020645的博客
06-22 2915
技术连载系列,前面内容请参考前面连载10内容:​​​​​​​​​​​​​​大数据组件HBase也可以通过Kerberos进行安全认证,由于HBase中需要zookeeper进行元数据管理、主节点选举、故障恢复,所以这里对HBase进行Kerberos安全认证时,建议也对Zookeeper进行安全认证。
Hbase 基本操作类
07-16
Hbase 基本操作类 static { //此处可以使用hbase的配置文件,也可以通过代码来实例化hbase连接 /* * Configuration HBASE_CONFIG = new Configuration(); * HBASE_CONFIG.set("hbase.zookeeper.quorum", ...
Linux FTP服务配置
12-11
vsftp的含义就是Very Security Ftp,下面就简要的说一下它的配置和使用方法,通过本文的介绍也希望您能了解在Linux下配置一个网络服务的基本过程  1.相关配置文件  /etc/vsftpd.conf,vsftpd.ftpuser,vsftpd.user_...
CISCO交换机配置AAA、802.1X以及VACL
01-02
因为802.1x只明确规定了基本的开/关功能,其他功能甚少,大多数安全专家提到了AAA,即验证、授权和审计,而802.1x仅仅提供了最基本的验证功能,即开/关。部分厂商于是提供了另一层保护,因为许多组织需要比“开/关”...
go-gssapi:纯Golang GSSAPI库
03-28
基本支持检测乱序和重复消息 以下功能当前不可用: GSS-API v1消息令牌( ) 代表团 频道绑定 平台类 当前的Unix平台。 将来将添加对Windows SSPI的支持。 项目状态 go-gssapi尚未被认为可以投入生产,并且该接口...
CentOS7 关闭防火墙
热门推荐
数据源的港湾
11-22 19万+
CentOS6关闭防火墙使用以下命令,//临时关闭 service iptables stop //禁止开机启动 chkconfig iptables offCentOS7中若使用同样的命令会报错,stop iptables.service Failed to stop iptables.service: Unit iptables.service not loaded.这是因为CentOS7版本
Linux 查看网络带宽是千兆还是万兆
数据源的港湾
01-12 3万+
查看机器端口 [trafodion@n12 ~]$ ifconfig eth1 Link encap:Ethernet HWaddr 5C:B9:01:9A:48:5D inet addr:10.10.11.12 Bcast:10.10.11.255 Mask:255.255.255.0 inet6 addr: fe80::5eb9:1ff:f
Linux Kill -9命令
数据源的港湾
11-07 3万+
本人在Linux下面想杀掉一个进程的时候通常会用kill -9,但说实在的,到底为什么用kill -9自己也说不出个所以然来,今天正好想到这个问题就网上查了一下。 首先说说kill命令,kill命令是Linux下面的一个终止进程的命令。 在Shell下面打kill可以看到kill的语法如下, [root@cent-1 opt]# kill kill: usage: kill [-s sigs
Linux rm -rf删除文件不释放空间的解决办法
数据源的港湾
12-18 2万+
前几天发现在Linux系统下有一个很大的无用文件,于是用rm -rf 删除,然后用df -h查看磁盘空间,发现即使文件被删除了,但文件所占用的空间并未释放,十分疑惑,于是在网上找到了解决方案,即使用lsof | grep deleted查看占用的进程并kill相关进程。具体情况是这样,使用rm -rf 删除文件之后用df -h查看磁盘空间,发现空间未释放,/opt/test的空间使用率达到68%,而
kerberos配置
09-15
Kerberos 是一个网络身份验证协议,用于在计算机网络中验证用户和服务之间的身份。要配置 Kerberos,你需要进行以下步骤: 1. 安装 Kerberos:首先,你需要在服务器上安装 Kerberos 软件包。这可以通过包管理器(如 yum 或 apt)来完成。 2. 配置 Kerberos 服务器:接下来,你需要配置 Kerberos 服务器。主要的配置文件是 `/etc/krb5.conf`,其中包含了 Kerberos 的全局参数、领域和域的定义以及密钥分发中心等信息。 3. 创建 Kerberos 数据库:使用 `kdb5_util` 工具创建 Kerberos 数据库。该数据库将存储用户和服务的凭证和密钥。 4. 添加用户和服务:使用 `kadmin` 工具添加用户和服务到 Kerberos 数据库。每个用户和服务都将有一个唯一的主体名(principal name),用于身份验证和授权。 5. 生成密钥表:生成密钥表(keytab)文件,用于存储服务的密钥。密钥表可以在服务启动时自动加载,而无需用户的交互式输入。 6. 配置客户端:在客户端上配置 Kerberos,以便能够与 Kerberos 服务器进行通信。主要的配置文件是 `/etc/krb5.conf`,需要指定正确的领域和域的信息。 7. 测试身份验证:使用 `kinit` 命令测试用户的身份验证。该命令将提示用户输入密码,并生成一个临时票据(ticket)用于后续的服务请求。 8. 配置服务:配置服务以使用 Kerberos 进行身份验证。这涉及到修改服务配置文件,以指定正确的密钥表和 Kerberos 配置。 以上是 Kerberos基本配置步骤,具体的操作可能会因系统和需求而有所不同。你可以参考官方文档或相关教程以获取更详细的信息和指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

数据源的港湾

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值