Kerberos (一) --------- Kerberos 部署

最新推荐文章于 2024-03-01 19:30:07 发布
最新推荐文章于 2024-03-01 19:30:07 发布
阅读量923 收藏 2
点赞数 1
分类专栏: Kerberos 文章标签: 网络 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51111980/article/details/127623107
版权

目录

一、Kerberos 概述

1. 什么是 Kerberos

Kerberos 是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。

2. Kerberos 术语

Kerberos中有以下一些概念需要了解:

  • KDC (Key Distribute Center) :密钥分发中心,负责存储用户信息,管理发放票据。
  • Realm :Kerberos所管理的一个领域或范围,称之为一个 Realm。
  • Rrincipal :Kerberos 所管理的一个用户或者一个服务,可以理解为 Kerberos 中保存的一个账号,其格式通常如下:primary/instance@realm
  • keytab:Kerberos 中的用户认证,可通过密码或者密钥文件证明身份,keytab 指密钥文件。

3. Kerberos 认证原理

在这里插入图片描述

二、Kerberos 安装

1. 安装 Kerberos 相关服务

选择集群中的一台主机 (hadoop102) 作为Kerberos服务端,安装KDC,所有主机都需要部署Kerberos客户端。

服务端主机执行以下安装命令

[root@hadoop102 ~]# yum install -y krb5-server
客户端主机执行以下安装命令
[root@hadoop102 ~]# yum install -y krb5-workstation krb5-libs
[root@hadoop103 ~]# yum install -y krb5-workstation krb5-libs
[root@hadoop104 ~]# yum install -y krb5-workstation krb5-libs

2. 修改配置文件

A、服务端主机 (hadoop102)

修改/var/kerberos/krb5kdc/kdc.conf文件,内容如下

[root@hadoop102 ~]# vim /var/kerberos/krb5kdc/kdc.conf
修改如下内容

[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88

[realms]
EXAMPLE.COM = {
 #master_key_type = aes256-cts
 acl_file = /var/kerberos/krb5kdc/kadm5.acl
 dict_file = /usr/share/dict/words
 admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
 supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal    arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
}

B、客户端主机 (所有主机)

修改/etc/krb5.conf文件
[root@hadoop102 ~]# vim /etc/krb5.conf
[root@hadoop103 ~]# vim /etc/krb5.conf
[root@hadoop104 ~]# vim /etc/krb5.conf

内容如下

# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
default_realm = EXAMPLE.COM
#default_ccache_name = KEYRING:persistent:%{uid}

[realms]
EXAMPLE.COM = {
  kdc = hadoop102
  admin_server = hadoop102
}
[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM

3. 初始化 KDC 数据库

在服务端主机 (hadoop102) 执行以下命令,并根据提示输入密码。

[root@hadoop102 ~]# kdb5_util create -s

4. 修改管理员权限配置文件

在服务端主机 (hadoop102) 修改 /var/kerberos/krb5kdc/kadm5.acl 文件,内容如下
*/admin@EXAMPLE.COM *

5. 启动 Kerberos 相关服务

在主节点 (hadoop102) 启动KDC,并配置开机自启

[root@hadoop102 ~]# systemctl start krb5kdc
[root@hadoop102 ~]# systemctl enable krb5kdc

在主节点 (hadoop102) 启动 Kadmin,该服务为 KDC 数据库访问入口

[root@hadoop102 ~]# systemctl start kadmin
[root@hadoop102 ~]# systemctl enable kadmin

6. 创建 Kerberos 管理员用户

在 KDC 所在主机 (hadoop102),执行以下命令,并按照提示输入密码

[root@hadoop102 ~]# kadmin.local -q "addprinc admin/admin"

三、Kerberos 使用概述

1. Kerberos 数据库操作

A、登录数据库

本地登录 (无需认证)

[root@hadoop102 ~]# kadmin.local 
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local:

远程登录 (需进行主体认证,认证操作见下文)

[root@hadoop102 ~]# kadmin
Authenticating as principal admin/admin@EXAMPLE.COM with password.
Password for admin/admin@EXAMPLE.COM: 
kadmin:   
退出输入:exit

B、创建 Kerberos 主体

登录数据库,输入以下命令,并按照提示输入密码 kadmin.local: addprinc test
也可通过以下shell命令直接创建主体

[root@hadoop102 ~]# kadmin.local -q"addprinc test"

C、修改主体密码

kadmin.local :cpw test

D、查看所有主体

kadmin.local: list_principals
K/M@EXAMPLE.COM
admin/admin@EXAMPLE.COM
kadmin/admin@EXAMPLE.COM
kadmin/changepw@EXAMPLE.COM
kadmin/hadoop105@EXAMPLE.COM
kiprop/hadoop105@EXAMPLE.COM
krbtgt/EXAMPLE.COM@EXAMPLE.COM

2. Kerberos 认证操作

A、密码认证

使用kinit进行主体认证,并按照提示输入密码

[root@hadoop102 ~]# kinit test
Password for test@EXAMPLE.COM:

查看认证凭证

[root@hadoop102 ~]# klist 
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: test@EXAMPLE.COM

Valid starting       Expires              Service principal
10/27/2019 18:23:57  10/28/2019 18:23:57  krbtgt/EXAMPLE.COM@EXAMPLE.COM
renew until 11/03/2019 18:23:57

B、密钥文件认证

生成主体 test 的 keytab 文件到指定目录 /root/test.keytab

[root@hadoop102 ~]# kadmin.local -q "xst -norandkey -k  /root/test.keytab test@EXAMPLE.COM"

注:-norandkey 的作用是声明不随机生成密码,若不加该参数,会导致之前的密码失效。

使用 keytab 进行认证

[root@hadoop102 ~]# kinit -kt /root/test.keytab test

查看认证凭证

[root@hadoop102 ~]# klist 
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: test@EXAMPLE.COM

Valid starting     Expires            Service principal
08/27/19 15:41:28  08/28/19 15:41:28  krbtgt/EXAMPLE.COM@EXAMPLE.COM
renew until 08/27/19 15:41:28

C、销毁凭证

[root@hadoop102 ~]# kdestroy
[root@hadoop102 ~]# klist   
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)
kerberos部署
weixin_41350766的博客
09-20 450
1.安装krb yum -y install krb5-server krb5-libs krb5-auth-dialog krb5-workstation 2.配置krb5.conf vi /etc/krb5.conf ----------------------------------------------------------------------------------------仅...
kerberos集群安装部署【详细】
最新发布
mandiandengwo的博客
03-10 1251
kerberos的基本原理不做过多介绍了,可自行查阅;本文主要介绍kerberos的安装及使用;使用到的软件版本:系统:Red Hat Enterprise Linux release 8.6 (Ootpa) 、krb5-server:1.18.2。Kerberos Client 根据需要进行安装,安装后可以使用 kadmin 命令;对应在 Kerberos Server 上使用 kadmin.local 命令。Kerberos 服务机器上可以使用 kadmin.local 来执行各种管理的操作。
kerberoskerberos创建用户和keytab文件
Mrerlou的博客
08-15 3424
将生成的keytab 文件放到 新建用户 user01 的家目录下。下面演示下如何创建kerberos 和 keytab 文件。user01 为用户名。111111 为密码。
Kerberos 部署
记录点点滴滴
04-11 880
安装 Kerberos 切换到 root 主节点 从节点 修改配置文件 服务端主机 ( cpu102 ) 客户端主机 初始化 KDC 数据库 修改管理员权限配置文件 启动Kerberos相关服务 创建 Kerberos 管理员用户 使用入门 Kerberos 数据库操作 登录数据库 创建Kerberos主体 Kerberos 认证操作 密码认证 密钥文件认证 销毁凭证
kerberos集群部署
wjandy0211的博客
01-16 1269
环境: 10.70.237.117      bd-1 10.70.237.118      bd-2 10.70.237.119      bd-3 10.70.237.120      bd-4 10.70.237.121      bd-5 10.70.237.122      bd-6 bd-1               
kerberos 部署
heqingcool的博客
06-07 601
kerberos部署 选择worker1节点作为kerberos服务端 #安装kerberos软件 yum -y install krb5-server krb5-libs krb5-auth-dialog krb5-workstation #安装sasl工具,impala启用kerberos时需要sasl工具 yum -y install cyrus-sasl-plain cyrus-sasl-devel cyrus-sasl-gssapi cyrus-sasl-md5 修改/etc/krb5.conf
Kerberos 部署与使用
hyunbar的博客
01-23 3768
大数据技术AI Flink/Spark/Hadoop/数仓,数据分析、面试,源码解读等干货学习资料 105篇原创内容 ...
kerberos-docker:用于kerberos服务器的轻量级docker映像
05-09
kerberos-docker 基于Alpine Linux的轻量级Kerberos Server docker映像。 用法 Docker映像根据以下环境变量配置kadmind和krb5kdc服务器并启动服务器。 环境变量 默认值 描述 REALM_NAME Example.COM 领域名称 ...
大数据安全-kerberos技术-zookeeper安装包
06-06
Kerberos技术就是种广泛应用于网络身份验证的安全协议,它可以提供强大的认证服务,确保数据传输的安全性。本资源包含的是大数据安全背景下的Kerberos与ZooKeeper的集成应用,特别是ZooKeeper的安装包,版本为`...
python-kerberos-1.1-15.el7.x64-86.rpm.tar.gz
02-02
首先,文件标题“python-kerberos-1.1-15.el7.x64-86.rpm.tar.gz”指明了该文件是个.tar.gz格式的压缩包,其中包含了名为“python-kerberos-1.1-15.el7.x86_64.rpm”的RPM安装包。这个RPM包是为64位(x64)的Red Hat...
大数据安全-kerberos技术-kafka安装包,kafka版本:kafka-2.12-3.3.1.tgz
06-07
Kerberos技术就是种广泛应用于企业级网络环境的身份验证协议,它为系统提供强大的安全性。本篇将重点介绍Kerberos技术以及如何在大数据组件Kafka中应用它。 Kafka是款分布式流处理平台,由Apache开发,用于构建...
Hadoop部署和配置Kerberos安全认证
05-17
Hadoop部署和配置Kerberos安全认证全套流程。已经过实测并部署与生产环境。
大数据安全-kerberos技术-hive安装包,hive版本:apache-hive-3.1.3-bin.tar.gz
06-06
部署Hive 3.1.3并启用Kerberos时,我们需要遵循以下步骤: 1. **配置Kerberos环境**:首先,需要在Hadoop集群上安装和配置Kerberos服务器,包括设置KDC、创建服务主体(Service Principal)、以及生成密钥tab文件...
CDH kerberos部署
Kng_007的博客
06-15 870
Kerberos协议通过强大密钥系统为Server(服务端)和Client(客户端)应用程序之间提供强大的通信加密和认证服务。在自建CDH添加kerberos服务
大数据权限认证 Kerberos 部署
u011047968的专栏
03-01 2297
Kerberos网络身份验证协议,旨在支持使用密钥加密的客户端/服务器应用程序的强大身份验证。Kerberos网络资源提供最高级别的安全性。Kerberos 应用客户端/服务器体系结构并支持用户到服务器的身份验证,而不是主机到主机的身份验证。在此模型中,安全性和身份验证将取决于密钥技术,其中网络上的每个主机都有自己的密钥。
kerberos安装部署
qq_25617289的博客
05-08 1418
1:服务端安装 yum install krb5-server krb5-libs krb5-auth-dialogkrb5-workstationkrb5-devel -y 2 在 slave端安装 yum installkrb5-devel krb5-workstation -y 3:修改配置文件 (1):vi /etc/krb5.conf [loggin...
Kerberos基本原理、安装部署及用法
Swordfall的博客
07-14 3370
1. 概述   Kerberos种认证机制。   目的是,通过密钥系统为客户端/服务器应用程序提供强大的认证系统:保护服务器防止错误的用户使用,同时保护它的用户使用正确的服务器,即支持双向验证;Kerberos协议的整个认证过程实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据,简而言之,K...
kerberos服务的安装部署
weixin_42728895的博客
03-08 526
Kerberos Master 1.yum安装服务 yum install -y krb5-server krb5-libs krb5-workstation 2.修改/etc/krb5.conf(只修改中文注释下面的就可以,其余的可以采取默认方式) includedir /etc/krb5.conf.d/ [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/
Kerberos 留言簿 v1.0 - 商业编程源码发布
Kerberos 留言簿 v1.0 是款使用了Kerberos认证机制的商业级留言簿应用,它主要适用于需要安全通信和认证的网络环境。在详细介绍此应用之前,我们需要了解几个关键知识点:Kerberos协议、商业编程以及源码的概念。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

在森林中麋了鹿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值