Kerberos服务高可用环境数据全量同步和增量同步

最新推荐文章于 2023-11-26 08:11:48 发布
最新推荐文章于 2023-11-26 08:11:48 发布
阅读量297 收藏
点赞数
分类专栏: hadoop 文章标签: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010053670/article/details/131917939
版权

Kerberos service in high-availability environment, the method of data full synchronization and incremental synchronization.

文章目录

1 前言

​ Kerberos服务将域信息(Realm)、身份信息(Principals)、身份密码、策略和其它信息存储在KDC(英文名:Key Distribution Center,中文名:密钥分发中心)数据库,由KADMIN程序(Kerberos database administration)管理(增加、删除、修改)。KDC和KADMIN可以单独部署或一起部署在同一个服务器。
​ 为了安全和服务不间断,通常把kerberos服务以高可用方式部署,分为主节点(Master)和备用节点(Slave),主节点对外提供管理服务(增加、删除、修改)和KDC服务,备用节点从主节点同步数据,对外提供KDC服务;当然为了更安全,也会在备用节点部署管理服务(但不推荐,原因见后面说明),在紧急情况时使用。
在这里插入图片描述
主备节点数据同步在 1.13 以前的版本只有全量同步,1.13 及以后的版本可用使用全量同步和增量同步。本文使用环境:

项目内容
kerberos版本1.14.1
主节点主机名lx-sywu
备用节点主机名lx-sywu01

2 安装kerberos服务

主备节点都需要安装kerberos服务;

yum install -y krb5-server krb5-libs krb5-workstation

krb5-libs.x86_64           1.14.1-27.el7_3      @centos7
krb5-server.x86_64         1.14.1-27.el7_3      @centos7
krb5-workstation.x86_64    1.14.1-27.el7_3      @centos7

主节点创建数据库;

[root@lx-sywu krb5kdc]# kdb5_util create -r sywu.com -s
Loading random data
Initializing database '/var/kerberos/krb5kdc/principal' for realm 'sywu.com',
master key name 'K/M@sywu.com'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key: 
Re-enter KDC database master key to verify: 

[root@lx-sywu krb5kdc]# ll /var/kerberos/krb5kdc
total 24
-rw-------. 1 root root   22 Jan  8  2022 kadm5.acl
-rw-------. 1 root root  451 Jan 14  2022 kdc.conf
-rw-------. 1 root root 8192 Jul 15 13:53 principal
-rw-------. 1 root root 8192 Jul 15 13:53 principal.kadm5
-rw-------. 1 root root    0 Jul 15 13:53 principal.kadm5.lock
-rw-------. 1 root root    0 Jul 15 13:53 principal.ok

修改配置文件;

[root@lx-sywu ~]# vi /etc/krb5.conf

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
 default_realm = sywu.com
 default_ccache_name = FILE:/tmp/krb5cc_%{uid}

[realms]
  sywu.com = {
    admin_server = lx-sywu
    kdc = lx-sywu     
  }

[root@lx-sywu ~]# vi /var/kerberos/krb5kdc/kdc.conf 

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 sywu.com = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }

启动管理服务和KDC服务;

service kadmin start
service krb5kdc start

这样kerberos服务就在主节点部署好了。

3 全量同步

每次都生成一个全量数据,同步到备用节点;对于数据库较大的环境,同步会比较耗时。

3.1 主节点配置

修改/etc/krb5.conf文件,将备用节点配置加入;

[root@lx-sywu ~]# vi /etc/krb5.conf

[realms]
  sywu.com = {
    admin_server = lx-sywu
    kdc = lx-sywu
	kdc = lx-sywu01
  }

添加主备同步服务账号;

[root@lx-sywu ~]# kadmin.local 

addprinc -randkey -kvno 1 host/lx-sywu01
addprinc -randkey -kvno 1 host/lx-sywu
addprinc -randkey -kvno 1 kiprop/lx-sywu01
addprinc -randkey -kvno 1 kiprop/lx-sywu

将主备同步服务账号生成keytab文件,默认文件:/etc/krb5.keytab;

[root@lx-sywu ~]# kadmin.local 

ktadd -norandkey host/lx-sywu01
ktadd -norandkey host/lx-sywu
ktadd -norandkey kiprop/lx-sywu01
ktadd -norandkey kiprop/lx-sywu

将主节点以下文件同步到备用节点相同目录下;

/var/kerberos/krb5kdc/kadm5.acl
/var/kerberos/krb5kdc/kdc.conf
/var/kerberos/krb5kdc/.k5.sywu.com
/etc/krb5.keytab
/etc/krb5.conf

3.2 备用节点配置

将主节点同步过来的配置文件放到相同目录下,创建 kprop 服务权限文件,该权限文件默认放在/var/kerberos/krb5kdc目录下,但这样会导致管理服务(kadmin)认为这个节点是备用节点不能启动该服务,所以如果有备用节点启动kadmin服务的需求,建议kprop配置放在别的地方,我放到 /etc/krb5.conf.d 目录,配置允许主备节点可以使用同步权限;

[root@lx-sywu01 ~]# vi /etc/krb5.conf.d/kpropd.acl

host/lx-sywu
host/lx-sywu01

启动kprop同步服务;

[root@lx-sywu01 ~]# /usr/sbin/kpropd -a /etc/krb5.conf.d/kpropd.acl

Jul 14 22:40:11 lx-sywu01 systemd[1]: Starting Kerberos 5 Propagation...
Jul 14 22:40:11 lx-sywu01 systemd[1]: Started Kerberos 5 Propagation.

3.3 同步验证

添加测试用户(主节点操作)

[root@lx-sywu ~]# kadmin.local 

addprinc -randkey -kvno 1 test001

执行同步(主节点操作)

[root@lx-sywu ~]# kdb5_util dump /var/kerberos/krb5kdc/slave_datatrans
[root@lx-sywu ~]# kprop -f /var/kerberos/krb5kdc/slave_datatrans -d -P 754 lx-sywu01
32768 bytes sent.
65536 bytes sent.
72180 bytes sent.
Database propagation to lx-sywu01: SUCCEEDED

同步确认(备用节点操作)

Jul 14 22:40:11 lx-sywu01 systemd[1]: Starting Kerberos 5 Propagation...
Jul 14 22:40:11 lx-sywu01 systemd[1]: Started Kerberos 5 Propagation.
Jul 14 22:40:55 lx-sywu01 kpropd[25603]: Connection from lx-sywu

[root@lx-sywu01 ~]# kadmin.local

kadmin.local:  list_principals test001
test001@sywu.com

备用节点生成文件(from_master、principal)

[root@lx-sywu01 ~]# ll -lah /var/kerberos/krb5kdc

drwxr-xr-x. 2 root root  187 7月  14 23:23 .
drwxr-xr-x. 3 root root   21 7月  13 16:11 ..
-rw-------. 1 root root  66K 7月  14 23:23 from_master
-rw-------. 1 root root   72 7月  13 16:11 .k5.sywu.com
-rw-r--r--. 1 root root   71 7月  14 23:34 kadm5.acl
-rw-r--r--. 1 root root  530 7月  14 23:34 kdc.conf
-rw-------. 1 root root  60K 7月  15 14:49 principal

启动管理服务和KDC服务(备用节点操作)

service kadmin start
service krb5kdc start

最后编写同步脚本(主节点操作)

[root@lx-sywu ~]# vi kerberos_sync_to_slave

kdb5_util dump /var/kerberos/krb5kdc/slave_datatrans
kprop -f /var/kerberos/krb5kdc/slave_datatrans -d -P 754 lx-sywu01

用crontab定时触发同步(主节点操作)

*/2  *  *  *  * sh kerberos_sync_to_slave

4 增量同步

增量同步 1.13 及以后的版本才可以使用,由于都是通过kprop同步服务实现,使用增量同步就不能使用全量同步,执行上面的全量同步功能会异常

修改kdc.conf配置文件,启用iprop配置(主备节点都操作)

[root@lx-sywu krb5kdc]# vi /var/kerberos/krb5kdc/kdc.conf 

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 sywu.com = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
  iprop_enable = true
  iprop_master_ulogsize = 2000
  iprop_slave_poll = 2m
  iprop_port = 760
  iprop_resync_timeout = 600
 }

iprop_slave_poll表示同步间隔时间,其它参数见参考资料链接。

重启 kadmin服务和kdc服务(主节点操作)

service kadmin restart
service krb5kdc restart

重启 kadmin服务、kdc服务、和kprop服务(备用节点操作)

service kadmin restart
service krb5kdc restart
sudo service kprop restop

首次启动kprop服务会自动进行全量同步;

Jul 14 23:18:33 lx-sywu01 systemd[1]: Starting Kerberos 5 Propagation...
Jul 14 23:18:33 lx-sywu01 systemd[1]: Started Kerberos 5 Propagation.
Jul 14 23:18:33 lx-sywu01 kpropd[13963]: kpropd: Full resync needed.
Jul 14 23:18:33 lx-sywu01 kpropd[13963]: Full resync request granted.
Jul 14 23:18:33 lx-sywu01 kpropd[13991]: Connection from lx-sywu

在主备节点都生成同步文件(principal.ulog),主节点kadmin服务在用户管理(增加、修改、删除)操作时会更新该文件,备用节点按照设定时间定时同步,可以在kpropd服务日志种查看到同步信息;

Jul 14 23:39:06 lx-sywu01 kpropd[24688]: Incremental updates: 1 updates / 13254 us
7月 15 14:49:07 lx-sywu01 kpropd[24688]: Incremental updates: 1 updates / 3624 us

也可以通过kproplog查看到同步信息。

[root@lx-sywu01 ~]# /usr/sbin/kproplog -h

Kerberos update log (/var/kerberos/krb5kdc/principal.ulog)
Update log dump :
        Log version # : 1
        Log state : Stable
        Entry block size : 2048
        Number of entries : 4
        First serial # : 4
        Last serial # : 7
        First time stamp : Fri Jul 14 21:41:53 2023
        Last time stamp : Sat Jul 15 14:48:41 2023

5 最后的验证

在客户端或者主备节点,分别注释主备节点kdc,测试认证正常;

[root@lx-sywu ~]# vi /etc/krb5.conf

[realms]
  sywu.com = {
    admin_server = lx-sywu
   # kdc = lx-sywu
	kdc = lx-sywu01
  }
 
[root@lx-sywu ~]# kinit test-sywu
Password for test-sywu@sywu.com: 
[root@lx-sywu ~]# klist 
Ticket cache: FILE:/tmp/krb5cc_1555
Default principal: test-sywu@sywu.com

Valid starting       Expires              Service principal
2023-07-14T22:46:37  2023-07-15T22:46:37  krbtgt/sywu.com@sywu.com

6 遗留问题

上面也提到了如果备用节点 kprop服务权限文件(kpropd.acl)出现在默认数据库目录下时会导致kadmin服务无法启动报错;

Jul 14 14:45:27 lx-sywu01 systemd[1]: Starting Kerberos 5 Password-changing and Administration...
Jul 14 14:45:27 lx-sywu01 _kadmind[12053]: Error. This appears to be a slave server, found kpropd.acl
Jul 14 14:45:27 lx-sywu01 systemd[1]: kadmin.service: control process exited, code=exited status=6

这是因为kerberos的主备高可用主要是针对kdc服务,没有针对管理服务的高可用,如果主备都开启了管理服务,就会存在有客户端连接主节点的管理服务操作,其它客户端可能连接备用节点的管理服务操作,这时主节点的操作可以正常同步到备用节点,但备用节点的操作不能反向同步到主节点,备用节点的管理数据丢失、主备不一致了,所以备用节点启用管理服务要慎重,至少要能做到记录操作的内容,主节点恢复后将操作内容重新执行

7 总结

1.13 版本以前只能使用全量同步方式实现kerberos高可用,仅推荐在数据库较小和增量较小的环境中使用;增量同步是 1.13 版本新加入的功能,可以在1.13版本及以后的版本使用,比较适用于数据库大和增量大的环境,也建议优先使用该方案。不推荐备用节点启用管理服务,启用该服务要综合考量。

8 参考资料

https://k5wiki.kerberos.org/wiki/Projects/Hierarchical_iprop - Projects/Hierarchical iprop
http://web.mit.edu/kerberos/krb5-latest/doc/admin/conf_files/kdc_conf.html#kdc-conf-5 - kdc-conf-5

苏言论
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kerberos安装及可用配置
qq_32012809的博客
01-18 7515
一. 1. Redhat7.4 2. CDH5.15 3. 采用root用户进行操作 4. 192.168.8.181 master1.com 192.168.8.182 master2.com 192.168.8.183 slave183.com 5. 二. 1.在181 182服务器上安装KDC服务 yum -y install krb5-server krb5-libs krb5-auth-...
0592-5.16.1-如何配置Kerberos可用
Hadoop_SC的博客
11-08 374
1 文档编写目的 对于一个启用了Kerberos的正式生产系统,还需要考虑KDC的可用。而Kerberos服务是支持配置为主备模式的,数据同步是通过kprop服务将主节点的数据同步到备节点。本文主要讲述如何在CDH5.16.1中配置Kerberos服务可用。在前面的文章中Fayson介绍过《如何配置Kerberos服务可用》,但无论是CDH还是OS版本到较低,本文也主要是为了更新文档。 ...
数据_08 【新增节点与删除节点】
热门推荐
weixin_44925086的博客
10-14 7万+
数据_08 【新增节点与删除节点】服役新节点具体步骤01 需求基础02 准备新节点03 服役新节点具体步骤退役旧数据节点 服役新节点具体步骤 01 需求基础 需求基础 随着公司业务的增长,数据量越来越大,原有的数据节点的容量已经不能满足存储数据的需求,需要在原有集群基础上动态添加新的数据节点。 02 准备新节点 复制一台新的虚拟机出来 将我们纯净的虚拟机复制一台出来,作为我们新的节点 第二步:修改mac地址以及IP地址 第三步:关闭防火墙,关闭selinux 第四步:更改主机名 第五步:四台机器更改
Kerberos 可用部署
raven_41的专栏
04-20 428
目前Kerberos服务器的可用主要是通过主备模式实现,数据同步是通过kprop服务,定时将主节点上的数据同步到从节点上。 # kadmin.local Authenticating as principal root/admin@wzadmin01.xxxx.com with password. kadmin.local: kadmin.local: addprinc -randkey h...
kerberos可用部署
qq_20793353的博客
10-06 447
1.环境准备 system-OS:centos73 CDH version:5.11 cat /etc/hosts 192.168.11.181 deploy-1 192.168.11.182 deploy-2 192.168.11.183 deploy-3 主备节点使用keepalived虚IP漂移 vip:192.168.17.180 主节点:deploy-2 备节点:deploy-3 ...
Kerberos可用安装
猿说新宇的博客
10-28 2520
目录   1、Kerberos安装与配置 1.1安装 1.1.1注意事项 1.1.2Yum安装 1.2配置 1.2.1/etc/krb5.conf 1.2.2/var/kerberos/krb5kdc/kdc.conf 1.2.3/var/kerberos/krb5kdc/kadm5.acl 1.2.4创建kpropd.acl 1.2.5创建数据库 1.2.6同步配置 1...
kerberos环境搭建
06-27
- 对于大型环境,可以考虑设置多个KDC和备份KDC,以实现可用性。 - 实施KDC复制,确保数据一致性。 通过以上步骤,你就可以在自己的环境中成功搭建并运行Kerberos,提供安全的网络认证服务。不过,这只是一个...
DNS、DHCP、Kerberos和Radius:云计算基础服务组件
01-20
基础服务组件包括 DNS、DHCP、用户管理、身份鉴别、权限管理、事后审计、域控等。 1. DNS DNS 是一个倒树形结构的分布式数据库,里面存储的信息主要有 IP 地址到域名的映射记录、域名到 IP 地址的映射记录、邮件...
服务器时间同步
09-26
综上所述,服务器时间同步是维持网络健康和稳定的关键要素,"嗷嗷好的时间同步软件"通过提供效、安全的解决方案,帮助企业或个人解决了这一问题,从而确保了网络环境的顺畅运行。对于文件名“jb51.net”,这可能是...
Flink V1.6.1可用配置指南
02-24
在大数据处理领域,Apache Flink 是一款强大的流处理框架,其稳定性和性能使其在实时数据处理中...在实际生产环境中,应根据系统的规模、数据量以及对容错性的要求,进行细致的调优和测试,以达到最佳的可用效果。
kerberos-docker:用于kerberos服务器的轻量级docker映像
05-09
Docker映像根据以下环境变量配置kadmind和krb5kdc服务器并启动服务器。 环境变量 默认值 描述 REALM_NAME Example.COM 领域名称 DOMAIN_NAME example.com 域名 KADMIN_PASS Secure_Password Kadmin密码 ...
数据安全,Kerberos 可用配置和验证
最新发布
11-26 484
在主节点上使用kprop命令将master.dump文件同步至备节点。
kerberos可用---主从部署
CarbonDioxide12138的博客
03-18 3249
1.  选择slave的master(node2)和slave(node3)上添加对方为可信用户在已有kerbero环境中,再选择一台主机作为slave安装kerbero服务端yum -y install krb5-server krb5-libs krb5-auth-dialog 2.  在kerberosMaster kadmin: addprinc -randkey host/node2 ...
Kerberos可用HA配置
wangkuangood3200的专栏
09-12 1580
关于CDH6集成kerberos的配置参见我的另一篇文章:CDH6集成kerberos,感兴趣的朋友可以查阅。 目前Kerberos服务器的可用是通过主备模式实现,数据同步是通过kprop服务,定时将主节点上的数据同步到从节点上。本文以host1/host2为例进行说明。 1、在主节点上,修改/etc/krb5.conf,在realms配置下增加备kerberos的配置。 注意:括号位置不...
kerberos安全hadoop集群开启可用
帆了个帆的专栏
11-19 925
https://docs.cloudera.com/documentation/enterprise/6/latest/topics/cdh_hag_hdfs_ha_config.html 开启可用后,需要修改的地方 1.hive相关的所有服务必须全部关闭,然后更新Hive Metastore Namenode 如果开启了hive on spark,不更新Hive Metastore Namen...
Kerberos HA可用配置
博学而笃志,切问而近思
04-08 1956
Kerberos 可用配置 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YmnKxnd2-1586329094906)(https://www.kerberos.org/images/krbmsg.gif)] Kerberos 安装(主节点操作) 节点信息 data80 data81 data82 data83 备注 主Kerberos节点:data80 ...
开启Kerberos可用同步备节点报错
shenli4073的博客
06-19 295
查看/etc/kdc.conf,检查是否配置了iprop_enable=true。
centos kerberos 主从同步搭建
qq_31024251的博客
09-16 328
一、 主机规划 主机ip 服务部署 192.168.88.130 kdcmaster 192.168.88.131 kdcslave 二、安装过程 192.168.88.130 操作如下 2.1 192.168.88.130 安装 # yum -y install krb5-libs krb5-devel krb5-server krb5-workstation 1 2.2 192.168.88.130 修改配置文件如下 cat /etc/krb5.conf #Con
Kafka 认证三:Kerberos 认证中心部署
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
11-17 2230
Kafka 支持 Kerberos的前提是部署 Kerberos 服务端,然后在 Kafka 所在的主机安装 Kerberos 客户端。Kerberos 是神话中具有三个头的保卫神犬,在没有部署 Kerberos 认证中心之前,曾看来两天这个协议的理论,但是很快就忘记了。 本周为了测试 Kafka 的 Kerberos 认证,玩了一下 Kerberos 认证中心的部署,看着 kdc 的日志文件,操作几遍 `kadmin.local` 命令后,突然就理解了 Kerberos 认证流程了。
关闭Kerberos服务
06-10
关闭 Kerberos 服务的步骤如下: 1. 登录 Kerberos 服务器。 2. 停止 Kerberos 服务。可以使用以下命令: ``` sudo systemctl stop krb5kdc sudo systemctl stop kadmin ``` 3. 禁用 Kerberos 服务,以防止其在启动时自动启动。可以使用以下命令: ``` sudo systemctl disable krb5kdc sudo systemctl disable kadmin ``` 4. 确认 Kerberos 服务已停止。可以使用以下命令: ``` sudo systemctl status krb5kdc sudo systemctl status kadmin ``` 如果服务已停止,则会显示“inactive(停止)”状态。 请注意,关闭 Kerberos 服务可能会影响到依赖于 Kerberos 认证的应用程序的正常运行。在关闭 Kerberos 服务之前,请确保已经备份了相关数据,并且已经通知了相关的用户和管理员。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值