(复盘)基于CentOS 7安装kerberos并生成keytab文件

已于 2024-04-05 02:07:25 修改
阅读量1.2k 收藏 12
点赞数 27
分类专栏: 授权和鉴权 文章标签: 安全
于 2024-04-05 01:35:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lmh1181243468/article/details/137386131
版权
本文详细介绍了如何在项目中使用Kerberos进行用户身份认证和授权,包括Kerberos的背景、环境配置、安装流程、用户实体注册以及常见问题解决,重点在于CentOS7环境下的KDC服务器和客户端设置。
摘要由CSDN通过智能技术生成

1. Kerberos

1.1 学习Kerberos初衷

本人在项目中负责Real time 的业务,用户需要接入我们的kafka集群,订阅我们的topic获取数据;其中涉及用户身份认证和鉴权的问题,认证授权的框架选用的就是kerberos,需要用户从我方获取keytab文件订阅我方的topics;此内容是为了让自己更加理解业务细节,更好地服务用户;用户在与我方交互时,我方需要向他提供keytab文件;

1.2 Kerberos概述

Kerberos was originally developed for MIT's Project Athena in the 1980s and has grown to become the most widely deployed system for authentication and authorization in modern computer networks. Kerberos is currently shipped with all major computer operating systems and is uniquely positioned to become a universal solution to the distributed authentication and authorization problem of permitting universal "single sign-on" within and between federated enterprises and peer-to-peer communities. MIT has developed and maintains implementations of Kerberos software for the Apple Macintosh, Windows and Unix operating systems.

翻译:Kerberos一开始是为了20世纪80年代麻省理工学院的Athena项目而开发的,已经成长现在计算机网络方面部署的最为广泛的认证授权系统;Kerberos 目前随所有主要计算机操作系统一起提供,并且具有独特的优势,可以成为分布式身份验证和授权问题的通用解决方案,该问题允许在联合企业和点对点社区内部和之间实现通用的“单点登录”。麻省理工学院为Apple Macintosh、Windows和Unix操作系统开发并维护了Kerberos软件的实现。

2. 环境准备

2.1 基本配置

kdc-serverkerberos-node1kerberos-node2
操作系统CentOS 7CentOS 7CentOS 7
IP地址192.168.2.171192.168.2.172192.168.2.173
安装包

krb5-server

krb5-workstation

krb5-libs

krb5-workstation

krb5-libs

krb5-workstation

krb5-libs

 2.2 准备工作 

 2.2.1  编辑/etc/sysconfig/network-scripts/ifcfg-ens33
vi /etc/sysconfig/network-scripts/ifcfg-ens33

TYPE="Ethernet"
PROXY_METHOD="none"
BROWSER_ONLY="no"
BOOTPROTO="static"
DEFROUTE="yes"
IPV4_FAILURE_FATAL="no"
IPV6INIT="yes"
IPV6_AUTOCONF="yes"
IPV6_DEFROUTE="yes"
IPV6_FAILURE_FATAL="no"
IPV6_ADDR_GEN_MODE="stable-privacy"
NAME="ens33"
UUID="acadd860-4edf-4da9-947f-0abf74e26f65"
DEVICE="ens33"
ONBOOT="yes"
IPADDR=192.168.2.171
NETMASK=255.255.255.0
GATEWAY=192.168.2.2
DNS1=8.8.8.8
DNS2=114.114.114.114 

2.2.2 关闭防火墙
#关闭防火墙
systemctl stop firewalld
systemctl disable firewalld
2.2.3 编辑/etc/hosts
192.168.2.171 kdc-server
192.168.2.172 kerberos-node1
192.168.2.173 kerberos-node2

3. kerberos安装流程

3.1 安装kerberos server(节点kdc-server)

#安装krb5-server,krb5-workstation,krb5-libs
yum install -y krb5-server krb5-workstation krb5-libs

#检查
rpm -qa | grep krb5


##打印内容
krb5-server-1.15.1-55.el7_9.x86_64
krb5-libs-1.15.1-55.el7_9.x86_64
krb5-workstation-1.15.1-55.el7_9.x86_64

3.2 安装kerberos client(kerberos-node1,kerberos-node2)

#安装krb5-workstation, krb5-libs
yum install -y krb5-workstation krb5-libs

#检查
rpm -qa | grep krb5

#打印内容
krb5-libs-1.15.1-55.el7_9.x86_64
krb5-workstation-1.15.1-55.el7_9.x86_64

 3.3 编辑/var/kerberos/krb5kdc/kdc.conf(节点kdc-server)

加粗部分是需要注意修改的地方

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 HADOOP.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  max_life = 1d
  max_renewable_life = 7d
  supported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }

3.4 编辑/etc/krb5.conf (节点kdc-server,kerberos-node1,kerberos-node2)

# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
 default_realm = HADOOP.COM
 #default_ccache_name = KEYRING:persistent:%{uid}
 udp_preference_limit= 1

[realms]
 HADOOP.COM = {
  kdc = kdc-server
  admin_server = kdc-server
 }

[domain_realm]
 .hadoop.com = HADOOP.COM
 hadoop.com = HADOOP.COM

 3.5 编辑/var/kerberos/krb5kdc/kadm5.acl (节点kdc-server)

*/admin@HADOOP.COM      *

4. 启动(节点kdc-server)

#启动krb5kdc
systemctl start krb5kdc
systemctl enable krb5kdc
systemctl is-enabled krb5kdc
#查看krb5kdc服务是否开启
sudo chkconfig --level 35 krb5kdc on

#启动kadmin
systemctl start kadmin
systemctl enable kadmin
systemctl is-enabled kadmin

5. 注册用户实体

#超级用户
kadmin.local -q "addprinc admin/admin"

#普通用户
kadmin.local -q "addprinc abc/abc"

#查看实体
kadmin.local -q "list_principals"

6. 用户验证(节点不限)

#方式一  用户验证+密码
kinit admin/admin

#查看实体
klist

#方式二 keytab方式验证

#生成keytab密钥文件并指定keytab的存放路径
kadmin.local -q "xst -k /root/abc.keytab abc@HADOOP.COM"

#keytab验证
kinit -kt /root/abc.keytab abc

#查看实体
klist

7. 安装问题

在kerberos-node1,kerberos-node2节点执行身份验证的时候发现报错

kinit: Cannot contact any KDC for realm 'HADOOP.COM' while getting initial credentials

 这个问题产生的根本原因是kdc server 跟client 之间的网络不通 或者配置不正确,需要检查一下配置文件/etc/krb5.conf;另外还有可能是防火墙的问题,我的问题是防火墙;

#关闭防火墙
systemctl stop firewalld
systemctl disable firewalld

不做梦的Carlos
关注
  • 27
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Centos7安装大数据安全认证组件Kerberos
程序猿丶HLK
02-27 3619
目录 一、kerberos简介 二、kerberos认证原理 三、kerberos集群安装 1.环境说明 2.集群安装前准备 3.安装kerberos服务器端 4.安装kerberos客户端 5.测试kerberos安装是否成功 6.kerberos常用命令 一、kerberos简介 Kerberos是一种计算机网络认证协议,此协议可以保护网络实体免受窃听和重复攻击,它允许某...
开源大数据集群部署(六)Keytab文件生成
01-23 660
作者:櫰木Keytab文件用于在不输入密码的情况下对主体(用户或服务)进行身份验证。以下是创建Kerberos身份验证的步骤。
(复盘)基于CentOS 7安装kerberos生成keytab文件_centos 安装kerberos(1)
最新发布
2401_84967954的博客
05-11 1052
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
kerberoscentos 7上安装
10-27 833
kerberos Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为 客户机Client / 服务器Server 应用程序提供强大的认证服务。 安装搭建可参考下面2个连接 参考1:https://www.cnblogs.com/staryea/p/8513937.html 参考2:https://www.jb51.net/article/94875.htm?tdsourcetag=s_pctim_aiomsg 搭建环境 :centos 7.8 yum list |grep ..
kerberoskerberos创建用户和keytab文件
Mrerlou的博客
08-15 2459
生成keytab 文件放到 新建用户 user01 的家目录下。下面演示下如何创建一个kerberoskeytab 文件。user01 为用户名。111111 为密码。
【总结】Centos中,Kerberos安装
weixin_34326179的博客
01-14 343
1、安装软件包安装必须的工具 bison, make, binutils下载压缩包至/usr/local目录下,并解压[root@localhostlocal]#lskrb5-1.14.tar.gzkrb5-1.14.tar.gz2、编译Kerberos切换目录至/krb5-1.14/src在/krb5-1.14/src文件夹下,运行configure命令[root...
生成keytab文件,且能使用密码登录kerberos
qq_40302627的博客
01-28 279
提示输入密码的时候,输入密码即可
Kerberos快速创建认证keytab文件
iisbeginner的博客
11-09 361
【代码】Kerberos快速创建认证keytab文件
基于centos7 安装python3.6.4出错的解决方法
01-11
以上这篇基于centos7 安装python3.6.4出错的解决方法就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持软件开发网。 您可能感兴趣的文章:CentOS7.5从零安装Python3.6.6的教程详
Centos7下安装MongoDB
08-24
Centos7下安装MongoDB Centos7下安装MongoDB是指在Centos7操作系统中安装和配置MongoDB数据库的...Centos7下安装MongoDB需要安装mongodb-org元数据包,配置yum源,安装MongoDB,创建数据目录,修改配置文件等步骤。
创建虚拟机并安装CentOs7
03-05
创建虚拟机并安装CentOs7
LINUX下的kerberos安装配置
05-05
kerberos是由mit开发的提供网络认证的系统。使用kerberos自己提供的ktelnetd、krlogind、krshd来替换传统的telnetd、rlogind、rshd服务。
CentOS 7 2009版镜像文件,内附下载安装全套教程
06-09
CentOS 7 2009版镜像文件,内附下载安装全套教程 CentOS 7是CentOS项目发布的开源类服务器操作系统,于2014年7月7日正式发布。 [1] CentOS 7是一个企业级的Linux发行版本,它源于RedHat免费公开的源代码进行再发行...
centos7.9 Kerberos认证服务安装
coder的专栏
01-05 559
由于项目要求需要增加Hbase集群的认证机制,通过研究决定采用Kerberos认证服务进行部署。本文使用 mit 的 kerberos 来作为 kdc 服务。编辑完成后需要同步到其他两个节点;以下只需要在krb5规划的服务器中安装即可;需要在三个节点都进行安装;
centos7搭建kerberos
qq_37497275的博客
01-20 2159
1、安装软件 主机上安装krb5、krb5-server和krb5-client yum install krb5-server krb5-libs krb5-auth-dialog krb5-workstation -y 其它2台从机器安装krb5-level、krb5-workstation yum install krb5-devel krb5-workstation -y ...
ktutil编写生成keytab文件的脚本、通过keytab文件认证用户
不是一枚开发
02-18 694
示例:为密码123456的hive用户,生成名称为hive.keytab的认证文件生成keytab文件的脚本。
CentOS 安装 Kerberos及简单应用
gmHappy
07-21 708
一、环境说明 主机名 IP地址 角色 node01.bigdata.hadoop 192.168.3.14 kerberos KDC node02.bigdata.hadoop 192.168.3.79 kerberos client node03.bigdata.hadoop 192.168.3.88 kerberos client 二、KDC安装及配置 2.1 KDC安装 yum install krb5-server krb5-libs krb5-auth-dialog
生成keytab脚本
qq_40302627的博客
05-21 1037
#!/bin/bash #判断目录是否存在 [ ! -d /cib/keytabs/users ] && mkdir /cib/keytabs/users user=$1 order=$2 path='/cib/keytabs/users' cd $path #生成keytab case $order in "add"){ if [ -n "$user" ];then echo "正在生成 $user.keytab" kadmin.local -q "addprinc-randkey
Kerberos
guowei的博客
11-04 2169
kerberos身份认证过程:     第一步:账号和KDC互相认证;     账号A向KDC证明自己的身份:         1.账号A首先会把自己的密码hash,得到一把秘钥Kclt;         2.Kclt会把当前的时间戳加密,生成一个字符串;使用{时间戳}Kclt来表示;         3.将生成的字符串{时间戳}Kclt、账号A的信息,以及一段随机数作为请求发送给KDC。    ...
centos7安装并配置基于IP地址的虚拟主机
04-25
好的,可以为您提供相关的步骤和操作: 1. 在CentOS 7上安装Apache Web服务器: sudo yum install httpd 2. 启动Apache服务: sudo systemctl start httpd.service 3. 设置开机启动Apache服务: sudo systemctl enable httpd.service 4. 确认Apache服务运行状态: sudo systemctl status httpd.service 5. 在CentOS 7上设置IP地址: sudo ifconfig eth0 192.168.0.100 netmask 255.255.255.0 up 6. 创建虚拟主机目录: sudo mkdir -p /var/www/vhosts/example.com 7. 创建虚拟主机配置文件: sudo nano /etc/httpd/conf.d/vhost.conf 8. 在虚拟主机配置文件中添加以下内容: <VirtualHost 192.168.0.100:80> DocumentRoot /var/www/vhosts/example.com ServerName example.com ServerAlias www.example.com ErrorLog /var/log/httpd/example.com-error_log CustomLog /var/log/httpd/example.com-access_log common </VirtualHost> 9. 重启Apache服务: sudo systemctl restart httpd.service 10. 在本地DNS或hosts文件中添加域名指向IP地址: 192.168.0.100 example.com www.example.com 这样就可以基于IP地址配置虚拟主机了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值