Kerberos基本配置

最新推荐文章于 2023-06-22 22:17:03 发布
最新推荐文章于 2023-06-22 22:17:03 发布
阅读量628 收藏 1
点赞数
分类专栏: kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35315256/article/details/88850837
版权

1 选择一台机器运行KDC,安装Kerberos相关服务

yum install -y krb5-devel krb5-server krb5-workstation

2 配置Kerberos,包括krb5.conf和kdc.conf,修改其中的realm,把默认的EXAMPLE.COM修改为自己要定义的值

vim /etc/krb5.conf
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = WANGFEI.COM
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 WANGFEI.COM = {
 kdc = node1
 admin_server = node1
 }

[domain_realm]
 .WANGFEI.COM = WANGFEI.COM
 WANGFEI.COM = WANGFEI.COM

vim /var/kerberos/krb5kdc/kdc.conf
[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 WANGFEI.COM = {
  master_key_type = aes128-cts
  max_life = 24h
  max_renewable_life = 7d  
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }

3 创建KDC数据库,其中需要设置管理员密码,创建完成会在/var/kerberos/krb5kdc/下面生成一系列文件,若重建数据库则需先删除/var/kerberos/krb5kdc下面principal相关文件

[root@node1 krb5kdc]# /usr/sbin/kdb5_util create -s
Loading random data
Initializing database '/var/kerberos/krb5kdc/principal' for realm 'WANGFEI.COM',
master key name 'K/M@WANGFEI.COM'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key: 
Re-enter KDC database master key to verify:

   ll /var/kerberos/krb5kdc/

4 给数据库管理员添加ACL权限,修改kadm5.acl文件,*代表全部权限

[root@node1 krb5kdc]# vim /var/kerberos/krb5kdc/kadm5.acl
*/admin@WANGFEI.COM *

对这个文件的解析会分为两列进行,第一列的具有管理员资格的principal,第二列是权限。

默认kadm5.acl的含义如下

*/admin@HADOOP.COM: 在HADOOP.COM域内任意以admin主机名认证的主体

*:所有权限

权限可选择的配置列表如下:

a: 允许增加principal或访问策略
A: 不允许增加principal或访问策略
c: 允许变更principals的密码
C: 不允许变更princials的密码
d: 允许删除principals或策略
D: 不允许删除principals或策略
i: 允许查看数据库
I: 不允许查看数据库
l: 允许列出principals或策略列表
L: 不允许列出principals或策略
m: 允许修改principals或策略
M: 不允许修改principals或策略
p: 允许传播(propagation)principal数据库
P: 不允许传播principal数据库
u: 允许创建使用PAM进行密码验证的单一组件用户principal
U: 否决u的权限
x: a,d,m,c,i,l权限的快捷方式
*: 跟x一样

所以,我们的kadm5.acl可以改的更安全一些,比如

root/admin@HADOOP.COM * 
;root/admin 可以在 kadmin 里做任何事
xianglei/master.hadoop@HADOOP.COM aml
;master.hadoop主机上的xianglei账号,可以在 kadmin 里增加,修改,查看principals列表,但不能删除,传播,查看数据库内容,变更密码等操作
list/*@HADOOP.COM l
;任意主机上的 list 用户只能看,别的啥也不能干

当然,除了管理员账号,这里不应该出现任何其他普通principal的账号。

5 添加数据库管理员,注意kadmin.local可以直接运行在KDC上,而无需通过Kerberos认证

[root@node1 krb5kdc]# /usr/sbin/kadmin.local -q "addprinc kdcadmin/admin"
Authenticating as principal root/admin@WANGFEI.COM with password.
WARNING: no policy specified for kdcadmin/admin@WANGFEI.COM; defaulting to no policy
Enter password for principal "kdcadmin/admin@WANGFEI.COM": 
Re-enter password for principal "kdcadmin/admin@WANGFEI.COM": 
Principal "kdcadmin/admin@WANGFEI.COM" created.
[root@node1 krb5kdc]# kadmin.local 
Authenticating as principal root/admin@WANGFEI.COM with password.
kadmin.local:  listprincs
K/M@WANGFEI.COM
kadmin/admin@WANGFEI.COM
kadmin/changepw@WANGFEI.COM
kadmin/node1@WANGFEI.COM
kdcadmin/admin@WANGFEI.COM
krbtgt/WANGFEI.COM@WANGFEI.COM
kadmin.local:  quit

6 启动Kerberos进程并设置开机启动,通过/var/log/krb5kdc.log 和 /var/log/kadmind.log查看日志,通过kinit检查Kerberos正常运行

service krb5kdc start
service kadmin start
chkconfig krb5kdc on
chkconfig kadmin on

7 到此,Kerberos服务端已搭好,现在选择另外一台机器安装客户端,并配置/etc/krb5.conf与KDC相同

yum install -y krb5-workstation


8 验证客户端可以访问KDC

kadmin -p 'kdcadmin/admin' -w '<kdcadmin/admin password>' -s '<kdc server ip>' -q 'list_principals'

9kadmin生成keytab,如果是KDC上面直接运行kadmin.local,如果是在客户端先kinit再kadmin

客户端
kinit kadmin/admin
kadmin

KDC服务上
kadmin.local

10相关Kerberos命令

kerberos

主体:
	1,用户主体,可以是hdfs也可以是hdfs/hdfs
	2,服务主体,例如yarn服务: yarn/node1

kinit可以在不同linux用户下kinit不同主体。也就是说我在linux用户user1下kinit user1主体,还可以在linux用户user2下kinit user2主体。	
	
创建主体
kadmin.local -q "addprinc kdcadmin/admin" //必须在root用户下(linux用户)
addprinc kdcadmin/admin //使用管理员用户登录到kadmin,kadmin是存放主体密匙的

认证主体
	1,keytab文件认证
	kinit -kt /root/flink.keytab flink/flink
	2,密码认证
	kinit flink/flink

查看当前登陆的主体:
klist

生成keytab文件:
	2种方式 一样
	xst -norandkey -k /root/flink.keytab flink/flink
	ktadd -norandkey -k /root/flink2.keytab flink/flink
注意: 只能在kerberos server所在机器上生成不改变密码的keytab文件, 
如果在其他机器的kerberos管理员console生成keytab文件,无法使用不改变密码的参数 -norandkey 

改变密码:
change_password flink/flink@HADOOP.COM
cpw flink/flink@HADOOP.COM

删除主体:
delete_principal flink/flink

11给zookeeper添加认证

vim zoo.cfg

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
jaasLoginRenew=3600000
kerberos.removeHostFromPrincipal=true
kerberos.removeRealmFromPrincipal=true

vim jaas.conf

Server {
  com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=true
  keyTab="/usr/local/zookeeper/conf/zk.keytab"
  storeKey=true
  useTicketCache=false
  principal="zk/node1@WANGFEI.COM";
};

vim java.env


export JVMFLAGS="-Djava.security.auth.login.config=/usr/local/zookeeper/conf/jaas.conf"
[root@node1 krb5kdc]# kdb5_util create -s
Loading random data
Initializing database '/var/kerberos/krb5kdc/principal' for realm 'WANGFEI.COM',
master key name 'K/M@WANGFEI.COM'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key: 
Re-enter KDC database master key to verify: 
[root@node1 krb5kdc]# ll
总用量 20
-rw-r--r-- 1 root root  431 3月  29 17:40 kdc.conf
-rw------- 1 root root 8192 3月  29 20:47 principal
-rw------- 1 root root 8192 3月  29 20:47 principal.kadm5
-rw------- 1 root root    0 3月  29 20:47 principal.kadm5.lock
-rw------- 1 root root    0 3月  29 2019 principal.ok
[root@node1 krb5kdc]# kadmin.local
Authenticating as principal zookeeper/admin@WANGFEI.COM with password.
kadmin.local:  add_principal zk/node1@WANGFEI.COM
WARNING: no policy specified for zk/node1@WANGFEI.COM; defaulting to no policy
Enter password for principal "zk/node1@WANGFEI.COM": 
Re-enter password for principal "zk/node1@WANGFEI.COM": 
Principal "zk/node1@WANGFEI.COM" created.
kadmin.local:  xst -k /usr/local/zookeeper/conf/zk.keytab zk/node1@WANGFEI.COM
Entry for principal zk/node1@WANGFEI.COM with kvno 2, encryption type aes128-cts-hmac-sha1-96 added to keytab WRFILE:/usr/local/zookeeper/conf/zk.keytab.
Entry for principal zk/node1@WANGFEI.COM with kvno 2, encryption type des3-cbc-sha1 added to keytab WRFILE:/usr/local/zookeeper/conf/zk.keytab.
Entry for principal zk/node1@WANGFEI.COM with kvno 2, encryption type arcfour-hmac added to keytab WRFILE:/usr/local/zookeeper/conf/zk.keytab.
Entry for principal zk/node1@WANGFEI.COM with kvno 2, encryption type des-hmac-sha1 added to keytab WRFILE:/usr/local/zookeeper/conf/zk.keytab.
Entry for principal zk/node1@WANGFEI.COM with kvno 2, encryption type des-cbc-md5 added to keytab WRFILE:/usr/local/zookeeper/conf/zk.keytab.
kadmin.local:

 

 

创建数据库和principal
使用kdb5_util创建数据库,从而可以存放principal相关的信息(输入两次password)
kdb5_util create -r EXAMPLE.COM -s
1
使用kadmin.local来添加principal
kadmin.local
# 创建一个新用户(输入两次密码)
add_principal test-server/@EXAMPLE.COM
# 导出用户加密配置到krb5.keytab中(先生成一下keytab文件)
xst -k ~/krb5.keytab test-server/admin@EXAMPLE.COM

原文:https://blog.csdn.net/lyflyyvip/article/details/85715801 
 

  1. 用kinit验证KDC是否启动成功
kinit -k -t krb5.keytab test-server/admin@EXAMPLE.COM
klist


参考:https://blog.csdn.net/Post_Yuan/article/details/54406148 

https://blog.csdn.net/lyflyyvip/article/details/85715801

 

 

 

 

 

 

 

 

 

尘缘未了-
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安装配置Kerberos
xiweihao的博客
10-23 2988
kerberos简介 Kerberos是一种计算机网络认证协议,此协议可以保护网络实体免受窃听和重复攻击,它允许某实体在非安全网络环境下向另一个实体以一种安全的方式证明自己的身份。Kerberos由麻省理工实验室实现此协议并发布的一套免费软件。其设计主要是针对客户-服务器模型,且提供了一系列交互认证——用户和服务器都能高安全性的验证对方的身份。 链接kerber...
krb5安装包 linux_【RedHat Linux】kerberos 服务端配置
weixin_39700220的博客
12-20 606
1. 安装软件包# yum install krb5-server krb5-libs krb5-workstation2. 修改配置文件 kdc.conf , krb5.conf# vi /var/kerberos/krb5kdc/kdc.conf //这个不改也可以[kdcdefaults]kdc_ports = 88kdc_tcp_ports = 88[realms]EXAMPLE.CO...
Kerberos认证原理与环境部署
匠人精神,持之以恒!
06-04 3851
官网:https://www.kerberos.org/ 官方文档:http://web.mit.edu/kerberos/krb5-current/doc/Kerberos中有以下一些概念需要了解:用户principal的形式:其中Instance是可选 的,通常用于更好地限定用户的类型。比如,一个管理员用户通常会有admin instance,即。下面是指代用户的 一些principal的例子: 2)服务principal 用户principal的形式:下面是指代服务principal的例子: 三、Ke
Kerberos安全认证-连载11-HBase Kerberos安全配置及访问
qq_32020645的博客
06-22 3307
技术连载系列,前面内容请参考前面连载10内容:​​​​​​​​​​​​​​大数据组件HBase也可以通过Kerberos进行安全认证,由于HBase中需要zookeeper进行元数据管理、主节点选举、故障恢复,所以这里对HBase进行Kerberos安全认证时,建议也对Zookeeper进行安全认证。
JAAS Authentication Example
来啊 快活啊
08-16 2004
例子程序来源于Java文档。 1. 配置Kerberos的Server端,配置KDC(kdc.conf)和Server(krb5.conf)。 2. 增加一个Principal,一个用于程序测试。 3. 将JassAcn.java和Jaas.conf文件拷贝到一个文件夹。 4. Javac编译JassAcn.java文件 5. 用下面的命令执行class文件,替换成自己的配置
kerberos基本操作
xiajinqian的博客
02-08 2590
kerberos基本操作 kerberos创建用户 kerberos查询 生产keytab文件
Kerberos原理整理
游离在社会边缘
03-15 1780
一、什么是kerberos kerberos是一种网络身份验证协议。它设计的目的是使用对称密钥加密技术为客户端/服务器应用提供可靠的身份验证。 美国麻省理工学院提供了一种该协议的实现。kerberos已经在很多公司产品中应用。kerberos是美国麻省理工学院为了解决非安全 的网络环境中安全问题的解决方案。kerberos使用可靠的密钥使服务器能够验证客户端的身份,在不安全的网络环境中进行连接。 ...
kerberos环境搭建
06-27
1. **Kerberos基本原理**: Kerberos基于票据授权票证(Ticket-Granting Ticket, TGT)的概念。用户首先向KDC请求TGT,然后使用TGT请求服务票证(Service Ticket),这个服务票证允许用户访问特定的服务。整个过程...
kerberos安全认证
12-29
**Kerberos基本原理** Kerberos基于密钥分发中心(KDC)的概念,它分为两个部分:Authentication Server (AS) 和 Ticket Granting Server (TGS)。其核心思想是通过三向握手机制来确保用户和服务之间的交互是安全的...
Kerberos
10-24
1. **Kerberos基本原理**:Kerberos基于共享密钥的身份验证机制,它假设所有通信都是不安全的,并且网络上的数据传输可能会被窃听。通过使用预共享密钥,Kerberos能够对用户的身份进行安全验证,同时为用户和服务...
Kerberos安装教程及使用详解
09-15
以下是Kerberos在Linux系统上的基本安装步骤: 1. **环境配置**:确保所有主机的内网IP和主机名可以相互解析,设置好DNS或者hosts文件。 2. **安装Kerberos软件包**:在KDC服务器上执行`yum install krb5-server ...
kerberos配置实验[归纳].pdf
10-11
" Kerberos 配置实验" Kerberos 是一种广泛应用于身份验证的安全协议,主要用于在客户端/服务器环境中提供身份验证。该协议可以分为三个阶段,共六个步骤。下面是关于 Kerberos 配置实验的详细知识点: 一、 ...
Centos7上krb5版本问题解决
thinkone的博客
05-29 5477
centos79,安装openssl-devel报错如下: #yum install openssl-devel -y --> Finished Dependency Resolution Error: Package: libkadm5-1.15.1-50.el7.x86_64 (os) Requires: krb5-libs(x86-64) = 1.15.1-50.el7 Installed: krb5-libs-1.15.1-51.el7_9.x8...
kerberos认证服务搭建、认证、常用命令
天空之蓝的博客
01-16 5735
文章目录安装KDC 服务器修改配置修改KDC的配置文件配置KDC服务的权限管理文件修改Kerberos配置文件信息初始化KDC数据库启动KDC服务器启动Kerberos服务器KDC 服务器上添加超级管理员账户搭建Kerberos客户端环境将服务端的配置文件拷贝到客户端客户端配置文件和服务段同步后,进行登陆,验证是否可以成功登陆Kerberos 一些基本操作命令使用kadmin.local命令进入...
zookeeper集成kerberos认证
snail_bing的博客
06-21 1616
1. 生成zookeeper的keytab文件 #添加zookeeper的principal kadmin.local -q "addprinc -randkey zookeeper/$hostname@REALM.COM" #生成zookeeper的keytab kadmin.local -q "xst -kt /tmp/keytabs/zookeeper.keytab zookeeper/$hostname@REALM.COM" 生成的zookeeper.keytab就在/tmp/keytabs路
kerberos管理开发总结
Show something
11-21 2944
从10月23日左右,到10月27日搬完代码,到今天11月20日;小一个月已经过去了; kerberos管理所花的时间超出了我的预期。 当然,中间出了很多七七八八的是,干扰了开发。 比如,xjl事件,联通总部数据域项目,以及一些其他的事情。 好在现在基本开发完了,还有一些小瑕疵,可留在后续解决,现在急需对过去一月的工作进行总结整理。 通过这次开发,大量借用ambar
Jaas Authentication文档翻译
来啊 快活啊
08-16 2088
JAAS Authorization Java认证和授权服务是Java 2中的一个可选包。 JAAS被用来实现两个目的: 1.用户认证,为了可靠和安全的确认当前谁在运行Java代码,不管代码是以一个程序运行,还是一个applet,一个bean或者一个servlet。 2.用户的授权,确保他们对需要执行的动作有访问控制的权利(权限)。 这个部分提供了一个认证组件的初
Linux kerberos安装
weixin_43172032的博客
11-17 2251
Linux kerberos安装一,节点规划。二,安装配置server。2.1 修改kdc配置文件:2.2 修改kadmin访问控制文件:2.3修改krb5配置文件:2.4创建realm2.5 开启krb5kdc和kadmin服务,并设置开机启动2.6 添加kerberos用户生产keytab文件三 ,客户端安装及验证。 一,节点规划。 节点 角色 hdp001.edu.org server,client hdp002.edu.org client hdp003.edu.org cl
大学物理-章节PPT!
最新发布
07-22
大学物理-章节PPT!
kerberos配置
09-15
Kerberos 是一个网络身份验证协议,用于在计算机网络中验证用户和服务之间的...以上是 Kerberos基本配置步骤,具体的操作可能会因系统和需求而有所不同。你可以参考官方文档或相关教程以获取更详细的信息和指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值