安装配置 Kerberos,并以 Zookeeper 为案例使用 Kerberos

最新推荐文章于 2024-07-01 12:36:12 发布
最新推荐文章于 2024-07-01 12:36:12 发布
阅读量1k 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bahnhofstrasse/article/details/102171213
版权

安装配置 Kerberos,并以 Zookeeper 为案例使用 Kerberos

1. 搭建 Kerberos

1.1. 环境

  • CentOS 7.2

1.2. 安装

1.2.1. 安装服务

$ yum install krb5-server

在安装完上述的软件之后,会生成配置文件/etc/krb5.conf/var/kerberos/krb5kdc/kdc.conf

1.2.3. 修改配置

kerberos 服务涉及到以下三个配置文件:

/var/kerberos/krb5kdc/kdc.conf
/var/kerberos/krb5kdc/kadm5.acl
/etc/krb5.conf

  • 修改 kdc.conf
    kdc 服务的配置信息
$ vi /var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 EXAMPLE.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }
 HADOOP.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }

补充:
HADOOP.COM是 realm 名,kerberos 可以支持多个 realm 并且大小写敏感。

这里简单介绍一下 realm,realm 充当了 kerberos 与应用安全数据间的桥梁或者连接器。当对用户执行认证(登录)和鉴权(访问控制)时,kerberos 会从应用配置的 realm 中获取相应的安全数据(如用户、角色、权限)进行比较以确定用户身份以及验证用户操作是否合法。
当配置 kerberos 时,你必须至少指定一个 realm ,用于认证和(或)授权。

  • 修改 kadm5.acl
    Kadmin 管理的配置信息
$ vi /var/kerberos/krb5kdc/kadm5.acl

*/admin@HADOOP.COM      *

其实根据文件名,大家也能猜出来该文件内容的内容是 kadmin 管理帐号的acl。

Kadmin daemon 会使用该文件来管理对 kerberos database 的访问权限。
对于那些可能会对 pincipal 产生影响的操作,acl 文件也能控制哪些principal能操作哪些其他pricipals。

*/admin@HADOOP.COM代表在 HADOOP.COM 域下 admin 组下的用户拥有所有权限。

  • 修改 krb5.conf
    Kerberos 的配置信息。例如 kdc 的位置,kadmin 的 realms 等
$ vi /etc/krb5.conf

# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
 default_realm = HADOOP.COM
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 HADOOP.COM = {
  kdc = localhost
  admin_server = localhost
 }

[domain_realm]
 .hadoop.com = HADOOP.COM
 hadoop.com = HADOOP.COM

补充:
kdc:代表要 kdc 服务的地址。格式是机器:端口,端口可以不写默认88

1.2.4. 创建/初始化kerberos database

$ kdb5_util create -s -r HADOOP.COM

-s 表示生成 stash file,并在其中存储 master server key(krb5kdc)
-r 来指定为初始化哪一个 realm

补充:
该命令会在 /var/kerberos/krb5kdc/ 目录下创建 principal 数据库。

如果遇到数据库已经存在的提示,可以把 /var/kerberos/krb5kdc/ 目录下的 principal 的相关文件都删除掉。默认的数据库名字都是 principal,可以使用 -d 指定数据库名字。这里我们使用默认数据库名。

1.2.5. 添加kerberos管理员

关于 kerberos 的管理,可以使用 kadmin.local 或 kadmin,至于使用哪个,取决于账户和访问权限:

  • 如果有访问 kdc 服务器的 root 权限,但是没有 kerberos admin 账户,使用 kadmin.local。本地访问的意思。
  • 如果没有访问 kdc 服务器的 root 权限,但是有 kerberos admin 账户,使用 kadmin。远程访问的意思。

根据kadm5.acl文件配置,由于指定了 admin 用户组下所有用户都具有所有权限,这里用户名可以随便使用。

为了方便起见,这里用户名也使用了 admin

$ kadmin.local -q "addprinc admin/admin"

1.3. 启动 kerberos

$ systemctl start krb5kdc
$ systemctl start kadmin

1.4. 测试 kerberos

1.4.1. 安装 kerberos 客户端

$ yum install krb5-workstation

1.4.2. 创建测试 principal 并生成 keytab

$ kadmin.local -q "addprinc test/admin"
$ kadmin.local -q "ktadd -k /tmp/test.keytab test/admin"

1.4.3. 销毁 ticket

$ kdestroy

1.4.5. 更新 ticket

使用密码:

$ kinit test/admin

或使用 keytab:

$ kinit -kt /tmp/test.keytab test/admin

1.4.6. 查看当前 ticket

$ klist

2. 配置 zookeeper 服务端

2.1. 创建 zookeeper 的 principal

$ kadmin.local -q "addprinc -randkey zookeeper/localhost@HADOOP.COM"
$ kadmin.local -q "ktadd -k zookeeper.keytab zookeeper/localhost@HADOOP.COM"
# 移动keytab到zookeeper的配置文件夹中,方便管理
$ mv zookeeper.keytab /usr/local/zookeeper/conf

2.2. 修改 zoo.cfg

在 zoo.cfg 文件中,添加以下内容:

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
jaasLoginRenew=3600000

2.3. 创建 jass 文件

在 zk 的 conf 目录下创建 jass.conf 文件

Server {
  com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab = true
  keyTab = "/usr/local/zookeeper/conf/zookeeper.keytab"
  storeKey = true
  useTicketCache = false
  principal = "zookeeper/localhost@JAVACHEN.COM";
};

特别注意下最后两行的分号,没有的话会解析不了该 jass 文件

2.4. 开启kerberos

在开启 kerberos 之前,我们先看下 zk 启动脚本装载 jvm 过程:

  1. 根据 zk 启动脚本 zkServer.sh,可以发现启动 jvm 之前,会通过执行 zkEnv.sh 文件,设置一些环境变量。
  2. 接着获取 SERVER_JVMFLAGS 变量,并将其追加到 JVMFLAGS 变量中。
  3. 最后会在启动jvm过程中,将 JVMFLAGS 变量添加 jvm 参数中。

根据上述启动流程,我们可以将 java 配置 jass 文件,这个步骤通过 zkEnv.sh 生效,并且设置到 JVMFLAGS 这个变量中。

我们通过 zkEnv.sh 又可以发现,zkEnv.sh 会检测 conf 中是否存在java.env 文件,并执行他。

这是我们便可以在 conf 中创建 java.env 文件,并写入以下内容:

export JVMFLAGS="-Djava.security.auth.login.config=/usr/local/zookeepe/conf/jaas.conf"
低压锅
关注
大数据安全-kerberos技术-zookeeper安装
06-06
通过以上步骤,我们可以成功地在大数据环境中安装配置Kerberos认证的ZooKeeper,从而提升系统的安全性。了解并掌握这些知识点对于从事大数据相关工作的专业人士至关重要,它们有助于构建安全可靠的大数据生态...
Kerberos安全认证-连载11-HBase Kerberos安全配置及访问
qq_32020645的博客
06-22 3764
技术连载系列,前面内容请参考前面连载10内容:​​​​​​​​​​​​​​大数据组件HBase也可以通过Kerberos进行安全认证,由于HBase中需要zookeeper进行元数据管理、主节点选举、故障恢复,所以这里对HBase进行Kerberos安全认证时,建议也对Zookeeper进行安全认证。
kerberos认证服务搭建、认证、常用命令
天空之蓝的博客
01-16 6112
文章目录安装KDC 服务器修改配置修改KDC的配置文件配置KDC服务的权限管理文件修改Kerberos配置文件信息初始化KDC数据库启动KDC服务器启动Kerberos服务器KDC 服务器上添加超级管理员账户搭建Kerberos客户端环境将服务端的配置文件拷贝到客户端客户端配置文件和服务段同步后,进行登陆,验证是否可以成功登陆Kerberos 一些基本操作命令使用kadmin.local命令进入...
Kerberos安全认证-连载3-大数据技术组件之搭建Zookeeper
qq_32020645的博客
06-06 435
本文主要是大数据zookeeper集群搭建,方便后续基于此环境配置Kerberos
zookeeper集成Kerberos
kxq的博客
10-29 1620
一、搭建zookeeper集群 将zookeeper-3.4.14文件上传到/bigdata/目录下, cd /bigdata/zookeeper-3.4.14/conf 1.1修改zoo.cfg配置文件: mv zoo_sample.cfg zoo.cfg vim zoo.cfg 配置如下: tickTime=2000 initLimit=10 syncLimit=5 clientPort=2181 dataDir=/bigdata/zookeeper-3.4.14/data dataLogDir=
搭建开启keberos的hadoop集群(1)
HJ_tianyaZD的博客
03-30 514
主机名hadoop101hadoop102hadoop103hadoop104IP组件nn1datanodezookeeperrangerdatanodezookeeperdatanodezookeepernn2mysqlKDC。
kafka 配置kerberos安全认证
01-28
本文将详细介绍如何为 Kafka 配置 Kerberos 安全认证,包括安装 Kerberos 服务、配置 ZookeeperKerberos 认证以及最终配置 Kafka 的 Kerberos 认证。 #### 二、整体架构设计 Kerberos 的部署通常需要一个中心化...
kerberos环境搭建
06-27
- 配置服务以使用Kerberos:修改服务配置文件,比如Samba的smb.conf,启用Kerberos验证。 7. **测试与故障排查**: - 使用`kinit`获取服务票证,尝试访问已配置的服务,确保Kerberos认证正常工作。 - 如果遇到...
hadoop快速集成kerberos认证
01-13
同样,ZooKeeper也需要配置Kerberos以增强安全性。通过`start-kerberos-zk.sh`脚本,可以一键启动Kerberos认证的ZooKeeper服务,简化了操作流程。 `hbase-setup.sh`可能是用来自动化HBase的Kerberos配置和启动的...
安装笔记:hadoop+hbase+sqoop2+phoenix+kerberos
01-12
【标题】:“安装笔记:hadoop+hbase+sqoop2+phoenix+kerberos” 【描述】:在本文中,我们将探讨如何在两台云主机(实际环境可能需要三台或更多)上安装Hadoop、HBase、Sqoop2、Phoenix以及Kerberos的详细过程,...
zookeeper】基于Kerberos认证的zookeeper无法访问元数据信息
最新发布
weixin_43346403的博客
07-01 133
【代码】【zookeeper】基于Kerberos认证的zookeeper无法访问元数据信息。
Java 连接 启用kerberos的Kafka
热门推荐
我见青山多妩媚,料青山见我应如是
09-19 1万+
前言: 最近换了新工作,在新环境下逐步适应中,来了近三周时间,也未能申请到一套服务器用来搭建CDH集群。一直用的是别人的集群,但是别人的集群各种权限限制,CDH集群还配置kerberos认证,大大增加了工作量与工作难度。所以能不搞Kerberos认证最好不要弄这玩意,自讨苦吃........ CM为Kafka配置Kerberos 1.实施方案前,假设下面条件满足 CDH集成Kerberos...
Zookeeper 开启kerberos配置
张伯毅的专栏
07-19 2929
一. 前言 这两天需要搞一个开启kerberoszookeeper环境用于测试. 顺手记录一下. 二. 安装步骤 2.1 前置环境准备 JDK : jdk1.8 服务器 : CentOS 7.5 软件版本: zookeeper : 2.4.8 前置环境: kerberos 安装 参考文档 2.2 安装zookeeper zookeeper安装我就不细说了, 先贴一个配置文件示例 , 后续的参数配置都是基于这个zoo.cfg配置文件的基础上进行修改. zoo.cfg 配置 # The numb
kerberos安全认证示例
yujianbujianqwe的博客
08-23 342
Kerberos是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。原文链接:https://blog.csdn.net/prefect_start/article/details/130981822。
大数据集群环境搭建详细步骤,涉及zookeeper,hadoop,hive,hbase,kafka
yangqin@1225的博客
01-26 8084
背景 公司需要搭建一套大数据集群环境用于测试,本文记录其详细过程,方便后面参考 环境信息 一主两从,均为ubuntu18.04 主:192.168.10.203(mufengcn) 从:192.168.10.202(mufengcn),192.168.10.200(tsroot) 注:假定括号内为ssh用户名,均为非root用户名(真实服务器,文中涉及到的用户名图文是不对应的,我只是把文案中涉及到的用户名批量替换了下~) 准备 设置主机名及配置hosts 依次设置主机名,如: sudo hostname b
Kerberos安全认证-连载11-HBase Kerberos安全配置及访问_kerberos hbase(4)
sahtk89452的博客
04-07 771
Client {在zookeeper各个节点ZOOKEEPER_HOME/conf目录下创建java.env文件,写入如下内容,这里在node3~node5各个节点都需配置。#指定jaas.conf文件路径以上可以先在node3节点进行配置,然后分发到node4~node5节点上。如下:在node3~node5各个节点执行如下命令,启动zookeeper。#启动zookeeper#检查zookeeper状态。
Kerberos安全认证-连载11-HBase Kerberos安全配置及访问_kerberos hbase(1)
sahtk89452的博客
04-07 1316
这里需要将该值设置为false,否则Hadoop HA 不能正常启动。跳过Zookeeper 访问控制列表(ACL)验证,允许连接zookeper后进行读取和写入。这里建议跳过,否则配置HBase 启动后不能向Zookeeper中写入数据。这里在node3节点进行zoo.cfg文件的配置配置完成后,将zoo.cfg文件分发到node4、node5 zookeeper节点上。
Kerberos安全认证-连载11-HBase Kerberos安全配置及访问_kerberos hbase(2)
sahtk89452的博客
04-07 977
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
大数据Hadoop之——Zookeeper鉴权认证(Kerberos认证+账号密码认证)
匠人精神,持之以恒!
06-11 3839
Zookeeper概述与安装请参考我之前的文章:分布式开源协调服务——ZookeeperZookeeper安装方式有两种,两种方式都会讲,其实大致配置都是一样的,只是少部分配置有一丢丢的区别。kafka的鉴权认证可以参考我之前的文章:大数据Hadoop之——Kerberos实战(Kafka Kerberos认证,用户密码认证和CDH Kerberos认证)Kerberos安装可以参考我之前的文章:Kerberos认证原理与环境部署 3)独立zookeeper配置 1、配置zoo.cfg 2、配置jaas
zookeeper配置kerberos认证的坑
06-08
确保 Kerberos 服务已正确配置,并可以在 ZooKeeper 服务器上进行身份验证。 5. ZooKeeper 客户端未正确配置。确保 ZooKeeper 客户端已正确配置,并可以与 Kerberos 服务进行通信。 6. ZooKeeper 服务器未启用 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值