kerberos 主从安装

已于 2024-03-20 15:43:23 修改
阅读量1.2k 收藏 3
点赞数 1
分类专栏: 大数据 文章标签: KERBEROS
于 2022-05-19 14:40:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jzy3711/article/details/124862873
版权

文章目录

主机列表

主机名称IP硬件配置
pass-eda-hdp-00110.218.12.1480 Core、256 G
pass-eda-hdp-00310.218.12.1880 Core、256 G

软件清单

软件名称版本号备注
krb5-server1.15.1
krb5-workstation1.15.1主备之间同步数据文件用

主机规划

主机角色软件
10.218.12.14krb5-server
10.218.12.18krb5-workstation

安装部署

服务安装

在两台机器上面分别安装kerberos服务。此处只安装服务,暂不做相应配置及启动服务。

yum install krb5-server krb5-workstation -y

修改配置

这里配置文件均在主备两台同时修改。

配置/etc/krb5.conf

# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
 default_realm = HLJ.CTC
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 HLJ.CTC = {
  kdc = pass-eda-hdp-001
  kdc = pass-eda-hdp-003
  admin_server = pass-eda-hdp-001
 }


[domain_realm]
 .hlj.ctc = HLJ.CTC
 hlj.ctc = HLJ.CTC

说明:

HLJ.CTC是设定的realms。Kerberos可以支持多个realms,大小写敏感,一般为了识别使用全部大写。

kdc代表kdc服务的地址。格式是机器名:端口,端口可以不写默认88。有多少kdc就写几行(admin_server同理)。

配置 /var/kerberos/krb5kdc/kdc.conf

sed -i "s/EXAMPLE.COM/HLJ.CTC/g" /var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 HLJ.CTC = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }

配置/var/kerberos/krb5kdc/kadm5.acl

sed -i "s/EXAMPLE.COM/HLJ.CTC/g" /var/kerberos/krb5kdc/kadm5.acl

*/admin@HLJ.CTC *

创建数据库

kdb5_util create -s

拷贝密钥文件

scp -p /var/kerberos/krb5kdc/.k5.CHINATELECOM.CN  pass-bigdata-hadoop-009:/var/kerberos/krb5kdc

]()

创建同步账号

kadmin.local -q "addprinc -randkey host/pass-eda-hdp-001"
kadmin.local -q "addprinc -randkey host/pass-eda-hdp-003"
kadmin.local -q "ktadd host/pass-eda-hdp-001"
kadmin.local -q "ktadd host/pass-eda-hdp-003"

拷贝文件keytab文件

scp -p /etc/krb5.keytab pass-eda-hdp-003:/etc/

声明同步账户

注意主节点上不能有该文件,否则kadmin服务无法启动,会报错:Error. This appears to be a slaveserver, found kpropd.acl。

配置/var/kerberos/krb5kdc/kpropd.acl


host/pass-eda-hdp-001@HLJ.CTC
host/pass-eda-hdp-003@HLJ.CTC

启动Kprop服务

systemctl enable kprop
systemctl start kprop

同步数据库

在主节点dump数据文件。

kdb5_util dump /var/kerberos/krb5kdc/slave_datatrans

启动主节点kerberos服务。

systemctl start krb5kdc

同步数据库文件。

kprop -d pass-eda-hdp-003
Database propagation to pass-eda-hdp-003: SUCCEEDED

pass-eda-hdp-003 上日志

[root@kdcslave ~]# kpropd -dS
ready
waiting for a kprop connection
Connection from kdcmaster
krb5_recvauth(4, kprop5_01, host/kdcslave@HAOHAOZHU.COM, ...)
authenticated client: host/kdcmaster@HAOHAOZHU.COM (etype == Triple DES cbc mode with HMAC/sha1)
Full propagation transfer started.
Full propagation transfer finished.
calling kdb5_util to load database
Load PID is 3565
Database load process for full propagation completed.
waiting for a kprop connection

添加自动同步任务

echo -e "* * * * * root kdb5_util dump /var/kerberos/krb5kdc/slave_datatrans && kprop -d pass-eda-hdp-003" >> /etc/cron.d/sync_krb5
systemctl restart crond

sync_db.sh

#!/bin/sh

kdclist="kdcslave"
echo `date`"start to sync!"
sudo kdb5_util dump /var/kerberos/krb5kdc/slave_datatrans
for kdc in $kdclist;
do
    sudo kprop -f /var/kerberos/krb5kdc/slave_datatrans $kdc
done
echo `date`"end to sync!"

添加执行权限

chmod +x sync_db.sh

添加定时任务

crontab -e
*/1 * * * * /root/sync_db.sh >> /root/sync.log

启动从节点

systemctl start krb5kdc

启动Kadmin服务

systemctl start kadmin

测试

添加测试账号

sudo kadmin.local -q "addprinc -pw test test/admin"

停止主节点kdc服务

 systemctl stop krb5kdc

登陆测试账号

kadmin -p test/admin

Authenticating as principal test/admin with password.

Password for test/admin@HADOOP.COM:

kadmin.local验证

[root@pass-eda-hdp-003 krb5kdc]# kadmin.local
Authenticating as principal root/admin@HLJ.CTC with password.
kadmin.local:  listprincs 
K/M@HLJ.CTC
host/pass-eda-hdp-001@HLJ.CTC
host/pass-eda-hdp-003@HLJ.CTC
kadmin/admin@HLJ.CTC
kadmin/changepw@HLJ.CTC
kadmin/pass-eda-hdp-001@HLJ.CTC
kiprop/pass-eda-hdp-001@HLJ.CTC
krbtgt/HLJ.CTC@HLJ.CTC
test/admin@HLJ.CTC
kadmin.local:  exit

安装脚本

installKerberos.sh

yum install krb5-server krb5-workstation -y
cp /home/krb5.conf /etc/
scp /etc/krb5.conf pass-eda-hdp-003:/etc
sed -i "s/EXAMPLE.COM/HLJ.CTC/g" /var/kerberos/krb5kdc/kdc.conf
scp /var/kerberos/krb5kdc/kdc.conf pass-eda-hdp-003:/var/kerberos/krb5kdc/
sed -i "s/EXAMPLE.COM/HLJ.CTC/g" /var/kerberos/krb5kdc/kadm5.acl
scp /var/kerberos/krb5kdc/kadm5.acl pass-eda-hdp-003:/var/kerberos/krb5kdc/
scp /var/kerberos/krb5kdc/.k5.HLJ.CTC pass-eda-hdp-003:/var/kerberos/krb5kdc/
kadmin.local -q "addprinc -randkey host/pass-eda-hdp-001"
kadmin.local -q "addprinc -randkey host/pass-eda-hdp-003"
kadmin.local -q "ktadd host/pass-eda-hdp-001"
kadmin.local -q "ktadd host/pass-eda-hdp-003"
scp -p /etc/krb5.keytab pass-eda-hdp-003:/etc/
vim /var/kerberos/krb5kdc/kpropd.acl
kprop -f /var/kerberos/krb5kdc/slave_datatrans pass-eda-hdp-003
kprop -d pass-eda-hdp-003

keytab 文件如下方式生成

sudo kadmin.local -q "addprinc -pw ocdp ocdp@HLJ.CTC"
sudo kadmin -padmin/admin -wadmin -q"xst -k /home/ocdp/ocdp.keytab  ocdp@HLJ.CTC"

远程添加用户

#/usr/bin/kadmin, -s, 10.4.75.32:749, -p, jzy/admin@GROUPB.HADOOP.CN, -w, jzy, -r, GROUPB.HADOOP.CN, -q, add_principal -pw "a1b2c3d4" test1@GROUPB.HADOOP.CN
sudo kadmin -s 10.4.75.32:749 -p jzy/admin@GROUPB.HADOOP.CN -w  jzy -r  GROUPB.HADOOP.CN
jzy3711
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Kerberos 主从安装
qq_33023859的博客
08-04 757
主机列表 主机名称 IP 硬件配置 pass-eda-hdp-001 10.218.12.14 80 Core、256 G pass-eda-hdp-003 10.218.12.18 80 Core、256 G 软件清单 软件名称 版本号 备注 krb5-server 1.15.1 krb5-workstation 1.15.1 主备之间同步数据文件用 主机规划 主机 角色 软件 10.218.12.14 主 ......
Kerberos安装使用
zc0565的博客
10-31 1788
1、安装 方式一:【手动编译安装】 # 1. 下载界面 https://web.mit.edu/kerberos/dist/index.html # 2. 选择下载版本,如:1.17 https://web.mit.edu/kerberos/dist/krb5/1.17/krb5-1.17.tar.gz # 3. 解压 tar zxvf krb5-1.17.tar.gz # 3. 编译 cd...
全网最详细 | Kerberos协议详解
Ms08067安全实验室
02-27 6954
目录Kerberos基础PAC特权属性证书1. PAC结构2. PAC凭证信息3. PAC签名4. KDC验证PAC5. PAC在kerberos中的优缺点Kerberos实验AS-REQ & AS-REP1. AS-REQ请求包分析2. AS-REP回复包分析 (1) TGT认购权证 (2) Lo...
Kerberos从入门到精通以及案例实操系列(一)
prefect_start的博客
06-05 6065
整个kerberos认证的过程较为复杂,三次通信中都使用了密钥,且密钥的种类一直在变化,并且为了防止网络拦截密钥,这些密钥都是临时生成的Session Key,即他们只在一次Session会话中起作用,即使密钥被劫持,等到密钥被破解可能这次会话都早已结束,这为整个kerberos认证过程保证了较高的安全性。kerberos认证的整体流图kerberos认证的时序图本地登录(无需认证)远程登录(需进行主体认证,认证操作见下文)退出输入:exit2. 创建Kerberos主体。
kerberos:介绍
最新发布
玉汝于成
04-19 2317
Kerberos是一种计算机网络授权协议,主要用于在非安全网络环境中对个人通信进行安全的身份认证。这个协议由麻省理工学院(MIT)开发,作为Athena项目的一部分,首次发布于1988年。Kerberos协议目前已经从v1发展到v5,其中v5在1993年被确定为标准的Kerberos协议(RFC1510)。Kerberos协议设计思想的核心是引入一个可信任的第三方来实现客户端和服务端的认证。在Kerberos中,这个可信任的第三方被称为密钥分发中心(KDC)。
Kerberos认证原理与使用教程
m0_46168848的博客
02-21 7278
Kerberos认证原理与使用教程
Datax从入门到精通03--Kerberos认证问题处理
欲望以提升热忱 毅力以磨平高山
09-03 6270
文章目录前言一、Kerberos认证问题二、解决方案一1.修改Json文件2. 配置文件3. 重新编译打包三、解决方案二总结 前言 如果没有使用kerberos认证的Hadoop集群直接参照官方文档就好了,但是如果使用了kerberos安全认证的,那么接下来是一个比较值得推荐的做法。 一、Kerberos认证问题 有关Kerberos认证相关的问题这里不展开讲,有需要的小伙伴可以自行百度,这里主要讲下使用datax抽数从个MySQL到Hive的kerberos认证问题处理解决办法。 二、解决方案一
Kerberos协议详解
热门推荐
做自己喜欢的事,并将其发挥到极致!
09-13 1万+
Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全,Kerberos侧重于通信前双方身份的认定工作,帮助客户端以及服务端验证是真正的自己并非他人,从而使得通信两端能够完全信任对方的身份,在一个不安全的网络中完成一次安全的身份认证继而进行安全的通信。Kerberos是一种计算机网络认证协议,其设计目标是通过密钥系统为网络中通信的客户机(Client)/服务器(Server)应用程序提供严格的身份验证服务,确保通信双方身份的真实性和安全性。
Kerberos主从配置.doc
10-03
Kerberos主从配置详解】 Kerberos是一种网络身份验证协议,主要用于提供安全的网络服务,确保只有经过授权的用户能够访问系统资源。在大型分布式环境中,为了高可用性和故障转移,通常会配置Kerberos主从架构。...
CentOS 7 gcc相关依赖包
12-04
在描述中提到,这些依赖包的目的是解决离线环境下安装nginx主从热备和负载均衡软件时,GCC离线安装的问题。Nginx是一个高性能的HTTP和反向代理服务器,而Keepalived则用于实现高可用性,当主服务器出现故障时,能...
Hadoop大数据开发基础-PPT课件
04-05
3. **HDFS详解**:HDFS的主从结构,包括NameNode(主节点)负责元数据管理,DataNode(从节点)存储实际数据。HDFS的数据冗余机制和故障恢复策略也是学习的重点。 4. **MapReduce**:MapReduce的工作流程包括Map...
HDFS实验手册
10-24
2. **主从结构**:HDFS采用NameNode和DataNode的主从架构。NameNode作为元数据管理器,负责文件系统的命名空间和文件块映射信息;DataNodes是数据存储节点,存储实际的数据块。 3. **容错机制**:通过副本策略,...
hdfsexplorer代码
09-18
HDFS遵循主从结构,由NameNode(主节点)和DataNode(从节点)组成。NameNode负责元数据管理,而DataNode则存储实际的数据块。HDFS具有高吞吐量的特点,适合大数据分析任务。 【HdfsExplorer:HDFS的开源客户端工具...
大数据之Kerberos认证
m0_70949976的博客
05-15 5476
Kerberos 是一个网络身份验证协议,用于在计算机网络中进行身份验证和授权。它提供了一种安全的方式,允许用户在不安全的网络上进行身份验证,并获取访问网络资源的权限。
【Hadoop】通俗易懂 Kerberos原理
康师傅没有眼泪
05-26 5570
Hadoop 使用Kerberos作为用户和服务的强身份验证和身份传播的基础。Kerberos 是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。Kerberos 是第三方认证机制,其中用户和服务依赖于第三方(Kerberos 服务器)来对彼此进行身份验证。Kerberos服务器本身称为密钥分发中心或 KDC。
一文搞懂Kerberos
聚集机器学习、信息安全
03-13 3641
Kerberos一词来源于古希腊神话中的Cerberus——守护地狱之门的三头犬,Kerberos是为TCP/IP 网络设计的可信第三方鉴别协议,最初是在麻省理工学院(MIT)为Athena 项目而开发的。Kerberos服务起着可信仲裁者的作用,可提供安全的网络鉴别,允许个人访问网络中不同的机器。
Kerberos安全认证-连载1-Kerberos简介
qq_32020645的博客
06-04 2018
数据安全防护及Kerberos简介
kerberos简介
QTM_Gitee的博客
05-04 4002
维护网络内的系统安全性和完整性至关重要,它涵盖了网络基础架构中的每个用户,应用程序,服务和服务器。 它需要了解网络上正在运行的所有内容以及这些服务的使用方式。 维护此安全性的核心是维护对这些应用程序和服务的访问并强制执行该访问。 Kerberos是一种比普通的基于密码的认证更加安全的认证协议。使用Kerberos,即使在其他计算机上访问服务时也永远不会通过网络发送密码。 Kerberos提供了一种机制,允许用户和机器向网络标识自己,并接收对管理员配置的区域和服务的定义的、受限的访问权限。Kerberos通过
Kerberos 身份验证
GitHub质检员
11-17 279
Kerberos 是一种由 MIT(麻省理工大学)提出的一种基于加密 Ticket 的身份认证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证,用于验证用户或主机的标识。。适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016在 Kerberos 协议中主要是有三个角色的存在:1、访问服务的 Client;2、提供服务的 Server;
kerberos安装
08-27
安装Kerberos,你可以按照以下步骤进行操作: 1. 安装依赖:首先,确保你的系统上已经安装了一些必要的软件包。对于大多数Linux发行版,你可以使用包管理器来安装这些软件包。例如,在Debian/Ubuntu上,可以运行以下命令来安装所需的依赖项: ``` sudo apt-get update sudo apt-get install build-essential libkrb5-dev ``` 对于其他发行版,请使用相应的包管理器。 2. 下载Kerberos:访问MIT Kerberos官方网站(https://web.mit.edu/kerberos/)并下载最新版本的Kerberos软件包。 3. 解压缩和编译:将下载的软件包解压缩到合适的目录中,并进入解压缩后的目录。然后执行以下命令进行编译和安装: ``` ./configure make sudo make install ``` 这将配置、编译并安装Kerberos。 4. 配置KerberosKerberos的配置文件通常位于`/etc/krb5.conf`。你可以使用文本编辑器打开此文件,并根据你的需求进行配置。配置文件中包含了Kerberos服务器和域的相关设置,以及密钥库和票证缓存的位置等信息。 5. 启动和测试:启动Kerberos服务并进行测试。可以使用以下命令来启动Kerberos服务: ``` sudo systemctl start krb5kdc sudo systemctl start kadmin ``` 然后,你可以使用`kinit`命令获取Kerberos票证,并使用`klist`命令查看你的票证信息,以确保Kerberos正常工作。 这是一个基本的Kerberos安装过程的概述,具体步骤可能会根据你的操作系统和Kerberos版本而有所不同。在实际安装过程中,请参考官方文档和适用于你的操作系统的特定指南以获得更详细的说明和帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值