Kerberos高可用安装

最新推荐文章于 2024-07-01 13:31:30 发布
最新推荐文章于 2024-07-01 13:31:30 发布
阅读量2.5k 收藏 4
点赞数
分类专栏: Kerberos 文章标签: Kerberos高可用安装
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/W1331808514/article/details/83474345
版权

目录

 

1、Kerberos安装与配置

1.1安装

1.1.1注意事项

1.1.2Yum安装

1.2配置

1.2.1/etc/krb5.conf

1.2.2/var/kerberos/krb5kdc/kdc.conf

1.2.3/var/kerberos/krb5kdc/kadm5.acl

1.2.4创建kpropd.acl

1.2.5创建数据库

1.2.6同步配置

1.2.7备份配置文件(主备都需要)

1.2.8生成principal

2、启动

2.1启动服务

2.2同步数据库(只在主节点)

2.3启动备KDC服务

3、验证

3.1执行# kadmin.local:

3.2在kadmin.local的命令行中添加用户principal:

3.3在kerberos客户端的admin用户里,执行

3.4验证高可用

1、Kerberos安装与配置

1.1安装

1.1.1注意事项

·kerberos涉及到的主机必须时钟同步!

·主机名hostname必须全为小写!

·该安装方案能够解决了Kerberos单点故障问题,提供 KDC的高可用。

1.1.2Yum安装

规划的KDC服务主机为:krb1(主),krb2(备)[1] 

其中在备节点安装之前需要保证主节点已经安装Kerberos,并且正常可用。

 

在规划的KDC服务上,执行:

# yum install -y krb5-server krb5-auth-dialog krb5-workstation krb5-devel krb5-libs

KDC服务上,执行:

#yum install -y krb5-server openldap-clients krb5-workstation krb5-libs

其他主机(不包括备KDC主机)上执行

# yum install -y krb5-workstation krb5-devel[2] 

 

注:若之前使用源码编译安装过,须卸载

 

1.2配置

KDC服务器涉及3个配置文件

/etc/krb5.conf

/var/kerberos/krb5kdc/kdc.conf

/var/kerberos/krb5kdc/kadm5.acl[3] 

1.2.1/etc/krb5.conf

[logging]

default = FILE:/var/log/krb5libs.log

kdc = FILE:/var/log/krb5kdc.log

admin_server = FILE:/var/log/kadmind.log

 

[libdefaults]

default_realm = TJ_DX.COM

kdc_timeout = 2500

max_retries = 3

dns_lookup_realm = false

dns_lookup_kdc = false

ticket_lifetime = 10d

renew_lifetime = 10d

renewable = false

forwardable = false

 

[realms]

TJ_DX.COM = {

 kdc = krb1

 Kdc = krb2

 admin_server = krb1

 default_domain = TJ_DX.COM

}

 

[domain_realm]

.tj_dx.com = TJ_DX.COM

tj_dx.com = TJ_DX.COM

 

[kdc]

profile = /var/kerberos/krb5kdc/kdc.conf

 

说明:

  1. [logging]:表示 server 端的日志的打印位置
  2. [libdefaults]:每种连接的默认配置,需要注意以下几个关键的小配置
    1. default_realm = TJ_DX.COM:设置 Kerberos 应用程序的默认领域。如果您有多个领域,只需向 [realms] 节添加其他的语句。其中红色的TJ_DX.COM可以为任意名字,推荐为大写
    2. ticket_lifetime: 凭证生效的时限,设置为7天。
    3. renew_lifetime: 凭证最长可以被延期的时限,一般为7天。当凭证过期之后,对安全认证的服务的后续访问则会失败。
    4. forwardable:是否允许转发
    5. renewable:是否允许票据延迟
  3. [realms]:列举使用的 realm域。
    1. kdc:代表要 kdc 的位置。格式是 机器:端口
    2. admin_server:代表 admin 的位置。格式是 机器:端口

注:配置中蓝色的字体修改为KDC所在主机的hostname

  1. [domain_realm]:realm域和域名的映射。
  2. [kdc]:kdc的配置信息
    1. profile:kdc的配置文件路径,默认值下若无文件则需要创建。

1.2.2/var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]

 kdc_ports = 88

 kdc_tcp_ports = 88

 

[realms]

 TJ_DX.COM = {

  master_key_type = aes256-cts

  acl_file = /var/kerberos/krb5kdc/kadm5.acl

  dict_file = /usr/share/dict/words

  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab

  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal

  max_life = 10d

  max_renewable_life = 10d

}

 

说明:

  1. TJ_DX.COM : 是设定的 realms。名字随意,推荐为大写!,但须与/etc/krb5.conf保持一致。Kerberos 可以支持多个 realms,会增加复杂度。大小写敏感。
  2. master_key_type:默认使用 aes256-cts。。
  3. acl_file:标注了 admin 的用户权限的文件,若文件不存在,需要用户自己创建。

文件格式是:Kerberos_principal permissions [target_principal] [restrictions]

  1. supported_enctypes:支持的编码类型列表。
  2. admin_keytab:KDC 进行校验的 keytab。

 

JAVA使用aes256-cts,需要将所有Kerberos涉及到的主机的$JAVA_HOME/jre/lib/security的两个jar包进行替换。下面提供了两个zip包,解压后有对应的jar包

 

1.2.3/var/kerberos/krb5kdc/kadm5.acl

即/var/kerberos/krb5kdc/kdc.conf中[realms]的acl_file配置的文件。内容为:

*/admin@ TJ_DX.COM    *

即:

其中TJ_DX.COM与/etc/krb5.conf对应

文件的意义为给数据库管理员添加ACL权限,*代表全部

 

1.2.4创建kpropd.acl

备节点krb2创建kpropd.acl文件并输入内容:

vi /var/kerberos/krb5kdc/kpropd.acl

输入:

host/krb1@ TJ_DX.COM

host/krb2@ TJ_DX.COM

 

1.2.5创建数据库

# kdb5_util create -r TJ_DX.COM -s[4] 

其中TJ_DX.COM与/etc/krb5.conf对应,且需要设置管理员密码。[5] 

该命令会在/var/kerberos/krb5kdc/创建principal 数据库

如果遇到数据库已经存在的提示,且需要重建数据库时,可以把 /var/kerberos/krb5kdc/ 目录下的 principal 的相关文件都删除掉。

1.2.6同步配置

将/etc/krb5.conf拷贝到集群其他服务器(备KDC单独同步)

例:

# scp /etc/krb5.conf e3basexx:/etc/

其中e3basexx为hadoop集群需要部署Kerberos的主机。

 

拷贝主KDC节点配置文件至备KDC节点:

scp /etc/krb5.conf krb2:/etc/;

#注意,/etc/krb5.conf需要同步到所有的kerberos主机上

scp /etc/krb5.keytab krb2:/etc/krb5.keytab

scp /var/kerberos/krb5kdc/kdc.conf /var/kerberos/krb5kdc/kadm5.acl /var/kerberos/krb5kdc/.k5.TJ_DX.COM krb2:/var/kerberos/krb5kdc/;

1.2.7备份配置文件(主备都需要)

因/var/kerberos/krb5kdc目录下为kerberos的数据库以及各个服务的principal等重要文件,若不慎丢失,会造成严重的后果,所以需要使用cron定时任务备份krb5kdc目录下的文件。

 

在/var/kerberos/目录下新建backup目录用来存放备份的文件。

mkdir /var/kerberos/backup   

在/var/kerberos/目录下新建backup_sh目录用来存放执行备份脚本和备份日志。

mkdri /var/kerberos/backup_sh

 

创建定时任务,执行:

crontab -e

输入:

00 00 * * * sh /var/kerberos/backup_sh/backup.sh >> /var/kerberos/backup_sh/backup.log[韦6] 

将备份文件产生的日志重定向到backup.log文件。

 

1.2.8生成principal

生成需要用到的principal

格式为:

host/[主KDC主机名]@[域名]

host/[备KDC主机名]@[域名]

 

在主KDC主机上执行:

kadmin.local -q "ank -randkey host/krb1@ TJ_DX.COM "

kadmin.local -q "ank -randkey host/krb2@ TJ_DX.COM"

kadmin.local -q "xst host/krb1@ TJ_DX.COM "

kadmin.local -q "xst host/krb2@ TJ_DX.COM "

2、启动

2.1启动服务

主KDC节点执行:

# service krb5kdc start

# service kadmin start

 

备KDC节点执行:

         #service kprop start[7] 

2.2同步数据库(只在主节点)

在主节点同步数据库

kdb5_util dump /var/kerberos/krb5kdc/slave_datatrans[8] 

kprop -f /var/kerberos/krb5kdc/slave_datatrans krb2[9] 

执行成功就会打印SUCCEEDED

 

#注意:kdc的数据库没有自动同步的命令,需要手动同步

 

设置一个cron作业,定时同步数据库。

在/var/kerberos/下新建dump目录,用来存放备份的数据库。

mkdir /var/kerberos/dump

在/var/kerberos/下新建dump_sh目录,用来存放执行备份的脚本和日志。

mkdir /var/kerberos/dump_sh

 

创建定时任务,执行:

crontab -e

输入:

00 00 * * * sh /var/kerberos/dump_sh/dump.sh >> /var/kerberos/dump_sh/dump.log

将执行备份的日志重定向到dump.log文件。

 

2.3启动备KDC服务

在备KDC节点执行:

#service krb5kdc start

3、验证

root使用kadmin.local命令,kadmin.local可以直接进入并管理Kerberos数据库,无需通过Kerberos认证。

 

3.1执行# kadmin.local:

输入listprincs查看已有用户(principal):

kadmin.local:  listprincs

 

3.2在kadmin.local的命令行中添加用户principal

  1. 输入addprinc admin来添加principal,并设置密码为111111

注:可以直接使用# kadmin.local 进入kadmin.local命令行,也可以直接使用# kadmin.local -q指定要执行的语句。例如kadmin.local -q "addprinc admin"。因为之前已经有该principal,所以给出了提示。

 

3.3在kerberos客户端的admin用户里,执行

$ kinit admin

输入密码后回车,若无任何提示表示认证成功

再执行# klist -e

此时可以看到,qinrc用户已经进行了认证,其中:

Tichet cache:ticket缓存存到了/tmp/krb5cc_0

Default principal:认证的用户

valid starting:认证开始时间

Expires:ticket生命节日日期

Service principal:服务对应的principal

renew until:ticket可以通过kinit -R进行延期的截止日期。

Etype:session key的编码类型

 

此时可以验证为Kerberos安装成功。

 

3.4验证高可用

在krb1、krb2中执行

service krb5kdc status

看到如下则说明KDC服务正常。

 

正常情况下kinit成功:

 

kill 掉主KDC

 

再次验证,若能正常执行kinit 和klist 命令,则高可用验证成功。

 

 [1]主机名可换

 [2]批量操作

需要root权限。

 [4]加上 –s存储文件,同步数据库用

 [5]记录备份

 [6]定时时间可调大

 [7]默认端口754,默认不以独立模式运行

 [8]转储至该文件

 [9]将转储文件传播到从kdc

猿说新宇
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
0592-5.16.1-如何配置Kerberos高可用
Hadoop_SC的博客
11-08 380
1 文档编写目的 对于一个启用了Kerberos的正式生产系统,还需要考虑KDC的高可用。而Kerberos服务是支持配置为主备模式的,数据同步是通过kprop服务将主节点的数据同步到备节点。本文主要讲述如何在CDH5.16.1中配置Kerberos服务的高可用。在前面的文章中Fayson介绍过《如何配置Kerberos服务的高可用》,但无论是CDH还是OS版本到较低,本文也主要是为了更新文档。 ...
大数据_08 【新增节点与删除节点】
热门推荐
weixin_44925086的博客
10-14 7万+
大数据_08 【新增节点与删除节点】服役新节点具体步骤01 需求基础02 准备新节点03 服役新节点具体步骤退役旧数据节点 服役新节点具体步骤 01 需求基础 需求基础 随着公司业务的增长,数据量越来越大,原有的数据节点的容量已经不能满足存储数据的需求,需要在原有集群基础上动态添加新的数据节点。 02 准备新节点 复制一台新的虚拟机出来 将我们纯净的虚拟机复制一台出来,作为我们新的节点 第二步:修改mac地址以及IP地址 第三步:关闭防火墙,关闭selinux 第四步:更改主机名 第五步:四台机器更改
Centos7.9安装kerberos
刘大猫
06-20 1249
假设我们公司有自己的门户网站,现在我们收购了一家公司,他们数据库采用ldap存储用户数据,那么为了他们账户能登陆我们公司项目所以需要集成,而不是再把他们的账户重新在mysql再创建一遍,万一人家有1W个账户呢,不累死了且也不现实啊。:这个文章是真实可行的,但是有执行顺序,一定要先安装“Openldap安装部署”+“Kerberos基本原理、安装部署及用法”之后,确保安装无误后再去安装“Openldap集成Kerberos”。例如,KDC的位置,Kerberos的admin realms等。
Kerberos 高可用部署
raven_41的专栏
04-20 438
目前Kerberos服务器的高可用主要是通过主备模式实现,数据同步是通过kprop服务,定时将主节点上的数据同步到从节点上。 # kadmin.local Authenticating as principal root/admin@wzadmin01.xxxx.com with password. kadmin.local: kadmin.local: addprinc -randkey h...
kerberos高可用部署
qq_20793353的博客
10-06 453
1.环境准备 system-OS:centos73 CDH version:5.11 cat /etc/hosts 192.168.11.181 deploy-1 192.168.11.182 deploy-2 192.168.11.183 deploy-3 主备节点使用keepalived虚IP漂移 vip:192.168.17.180 主节点:deploy-2 备节点:deploy-3 ...
Kerberos服务高可用环境数据全量同步和增量同步
堅持╅信念★
07-25 339
Kerberos服务高可用环境数据全量同步和增量同步
Flink V1.6.1高可用配置指南
02-24
Flink 的高可用性(High Availability, HA)是保证系统持续运行和数据不丢失的关键特性。本篇文章将深入探讨Flink V1.6.1版本的高可用配置,涵盖Flink Standalone集群和Flink on YARN集群的HA配置方法。 首先,我们...
kerberos环境搭建
06-27
- 对于大型环境,可以考虑设置多个KDC和备份KDC,以实现高可用性。 - 实施KDC复制,确保数据一致性。 通过以上步骤,你就可以在自己的环境中成功搭建并运行Kerberos,提供安全的网络认证服务。不过,这只是一个...
CDH集群手动安装Kerberos完整流程
11-13
在CDH集群中,Kerberos的安全性与可用性是相互关联的。启用Kerberos后,所有用户和进程都需要通过身份验证才能访问服务,这极大地增强了数据安全性。然而,也增加了运维的复杂性,需要定期管理和更新密钥,以及处理...
安装笔记:hadoop+hbase+sqoop2+phoenix+kerberos
01-12
此外,SecondaryNameNode作为备份,可以在NameNode故障时提供恢复点,增强了系统的高可用性。 至于Phoenix,它是SQL查询引擎,直接在HBase之上提供关系型数据库功能,使得通过SQL语句操作HBase变得更加方便。而...
Kerberos部署.docx
05-02
Kerberos部署详解》 Kerberos协议是网络身份验证的一种强大工具,尤其在多服务环境中,其Single Sign-On...在实际部署中,需要根据组织的具体需求和环境,灵活调整Kerberos的配置,以实现最佳的安全性和可用性。
ganglia rpm离线安装和依赖包.zip
09-18
内网服务不能连接外网, 而又没有epel源的时候, 可以用一台连接外网的linux服务器使用 yum install --downloadonly 来下载ganglia的包, 然后cp到内网的服务器上去安装, 这里就是为你准备好的最新版的ganglia离线安装和依赖包, 请下载吧
kerberos HA高可用部署方案详解
最新发布
sunxunyong的博客
07-01 813
KDC高可用方案1、安装JCE集群在开启Kerberos服务之前,必须在Ambari Server主机和其他所有主机上安装JCE注意:如果集群正在使用Oracle JDK,必须在集群所有主机上分发并安装JCE,在JCE安装完成后,切记要重启Ambari Server。如果集群正在使用Open JDK,就可以不用安装JCE了。在Ambari Server主机上,根据相应的JDK版本获取相应的JCE policy文件。
大数据安全,Kerberos 高可用配置和验证
11-26 501
在主节点上使用kprop命令将master.dump文件同步至备节点。
kerberos高可用---主从部署
CarbonDioxide12138的博客
03-18 3257
1.  选择slave的master(node2)和slave(node3)上添加对方为可信用户在已有kerbero环境中,再选择一台主机作为slave安装kerbero服务端yum -y install krb5-server krb5-libs krb5-auth-dialog 2.  在kerberosMaster kadmin: addprinc -randkey host/node2 ...
Kerberos高可用HA配置
wangkuangood3200的专栏
09-12 1584
关于CDH6集成kerberos的配置参见我的另一篇文章:CDH6集成kerberos,感兴趣的朋友可以查阅。 目前Kerberos服务器的高可用是通过主备模式实现,数据同步是通过kprop服务,定时将主节点上的数据同步到从节点上。本文以host1/host2为例进行说明。 1、在主节点上,修改/etc/krb5.conf,在realms配置下增加备kerberos的配置。 注意:括号位置不...
kerberos安全hadoop集群开启高可用
帆了个帆的专栏
11-19 930
https://docs.cloudera.com/documentation/enterprise/6/latest/topics/cdh_hag_hdfs_ha_config.html 开启高可用后,需要修改的地方 1.hive相关的所有服务必须全部关闭,然后更新Hive Metastore Namenode 如果开启了hive on spark,不更新Hive Metastore Namen...
Kerberos HA高可用配置
博学而笃志,切问而近思
04-08 1987
Kerberos 高可用配置 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YmnKxnd2-1586329094906)(https://www.kerberos.org/images/krbmsg.gif)] Kerberos 安装(主节点操作) 节点信息 data80 data81 data82 data83 备注 主Kerberos节点:data80 ...
开启Kerberos高可用同步备节点报错
shenli4073的博客
06-19 313
查看/etc/kdc.conf,检查是否配置了iprop_enable=true。
怎么安装高可用hadoop
06-08
安装高可用(High Availability, HA)的Hadoop集群是一个复杂的过程,涉及到多个步骤和配置。以下是安装高可用Hadoop的基本步骤,通常用于Apache Hadoop 2.x或更高版本: 1. **环境准备**: - 操作系统支持(如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值