Kerberos 安装与配置 (七)

最新推荐文章于 2024-03-23 22:06:10 发布
最新推荐文章于 2024-03-23 22:06:10 发布
阅读量1.2w 收藏 10
点赞数 1
分类专栏: 企业级HDP平台的搭建 文章标签: kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013850277/article/details/77018536
版权

7.1 KDC server的 安装

1、安装最新版的KDC server 

  yum install krb5-server krb5-libs krb5-workstation
  • 注:KDC (Key Distribution Center)密匙分配中心, 其在kerberos中通常提供两种服务:
    1.Authentication Service (AS):认证服务   
    2.Ticket-Granting Service (TGS):授予票据服务

2、编辑配置文件

     vi /etc/krb5.conf 

[libdefaults]
  renew_lifetime = 7d
  forwardable = true
  default_realm = DATAPLAT.COM.CN
  ticket_lifetime = 24h
  dns_lookup_realm = false
  dns_lookup_kdc = false
  default_ccache_name = /tmp/krb5cc_%{uid}
  #default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
  #default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5

[logging]
  default = FILE:/var/log/krb5kdc.log
  admin_server = FILE:/var/log/kadmind.log
  kdc = FILE:/var/log/krb5kdc.log

[realms]
  BIGDATA.ORG.CN = {
    admin_server = 10.123.12.7
    kdc = 10.123.12.7
  }

[domain_realm]
 .bigdata.org.cn =  DATAPLAT.COM.CN
 bigdata.org.cn =  DATAPLAT.COM.CN

注:修改[realms]与添加[domain_realm] ,[libdefaults]对应的default_realm的值

3、使用 kdb5_util 创建Kerberos数据库(*注:会提醒你输入密码,要记好密码)

     kdb5_util create -s

     Enter KDC database master key:xxxxxx

4、启动KDC服务

/etc/rc.d/init.d/krb5kdc start
/etc/rc.d/init.d/kadmin start

5、设置KDC服务开机启动

chkconfig krb5kdc on
chkconfig kadmin on

6、创建Kerberos管理员(根据提示输入密码)

kadmin.local -q "addprinc root/root" 
Enter password for principal "root/root@DATAPLAT.COM.CN":xxxxxxxxxx

7、查看KDC ACL权限文件并确保kadm5.acl文件中,有你刚才定义的[realm]信息,无则补上

vi /var/kerberos/krb5kdc/kadm5.acl 
*/root@EXAMPLE.COM *
*/root@DATAPLAT.COM.CN     *

注:其中 /root@DATAPLAT.COM.CN 即为需要添加的信息

8、重启kadmin进程

/etc/rc.d/init.d/kadmin restart

7.2 使用Ambari自动配置Kerberos

  1. 确认你已经安装了KDC并启动了KDC服务,确认你已经安装了JCE;

  2. 登录到Ambari,在菜单栏中 Admin > Kerberos;

  3. 点击 “Enable Kerberos”进入向导安装模式;

  4. 选择你之前配置的KDC版本信息(我们之前配置的是MIT KDC);

  5. 勾选选框确认已经完成了Kerberos安装前的准备事项;

  6. 填写KDC相关配置信息(这里假设你已经按照我们之前的步骤安装了KDC)
    下列选项中Domains最好是填上:.data.com.cn
    这里写图片描述

一路Next 便可.

注:kerberos开启后建议不要随意进行重启,由于kerberos在重启过程中需要将很多配置文件进行移除相关的操作。在这个过程有可能会出现移除文件不完整的情况。因而导致整个系统访问出现问题。

7.2.1 Kerberos的票据管理

在使用kerberos进行HDP集群安全认证的时候,我们需要对能够接入集群的用户进行管理,这个时候会需要使用到一些常用的命令。本小节将集中讲解如何管理kerberos的票据,包括生成、分发、删除等操作。

1、登录 kerberos

 /usr/sbin/kadmin.local

2、查看用户

kadmin.local : listprincs

3、添加用户

kadmin.local : addprinc project2/hdp39@BMSOFT.COM

4、删除用户

kadmin.local : delprinc project2/hdp39@BMSOFT.COM

5、创建keytable文件 生成 project2/hdp39 用户的 keytab 文件到 /opt/keystore/ 目录(目录由自己随意指定)

kadmin.local :ktadd -k /opt/keystore/project2.keytab project2/hdp39

6、获得或更新 Kerberos 票据授权票据

kinit -k -t /opt/keystore/project2.keytab project2/hdp39@BMSOFT.COM

7.2.2 对kerberos进行重启出现的问题

如下为重启出现的问题:

当成功开户Kerberos后,通过Ambari将Kerberos 停用,停用之后便出现如下问题,hdfs没有访问权限,异常如下所示:

Unauthorized connection for super-user: root from IP 10.123.12.7

原因:其将HDFS的访问权限设置为只允许hdp04该主机访问了,将其访问权限修改为允许所有主机访问则可(即改为 *)
如下图所示:
这里写图片描述

注:如果在使用kerberos的过程中,出现了实现解决不了的问题,可以试下重新安装KDC 。

参考官方文档:
https://docs.hortonworks.com/HDPDocuments/HDP2/HDP-2.5.0/bk_security/content/_installing_and_configuring_the_kdc.html

在屋顶听歌
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kerberos安装教程及使用详解
01-10
Kerberos协议: Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安全性。 2. 安装 Kerberos 2.1. 环境配置   安装kerberos前,要确保主机名可以被解析。   主机名 内网IP 角色 Vmw201 172.16.18.201 Master KDC Vmw202 172.16.18.20
kerberosKerberos安装使用详解及遇到的问题
Mrerlou的博客
03-18 5190
Kerberos协议: Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安全性。 环境信息: 信息 版本 操作系统 centos6.9 服务器类型 虚拟机 CDH 5.13 节点数量 5 节点信息:
kerberos安装及命令
最新发布
runqu的博客
03-23 1041
Kerberos是一个网络认证协议,用于在计算机网络中验证用户身份。该协议允许用户在网络上进行安全的身份验证,而不必将明文密码传输到网络上。
Kerberos主从配置文档
weixin_30518397的博客
11-08 199
Kerberos主从配置文档 1. Kerberos主从同步机制 在Master上通过以下命令同步数据: kdb5_util dump /var/kerberos/krb5kdc/slave_db kprop -f /var/kerberos/krb5kdc/slave_db kerberos2.hadoop.com 2. 搭建 Kerberos 2.1 环境...
kdb5_util: Configuration file does not specify default realm while getting default realm
周源的专栏
09-25 7739
取消下列default_realm默认注释行(修改为自己想要的): 即可执行创建Kerberos数据库命令:kdb5_util create -s
kerberos mysql配置_管理 Kerberos 数据库
weixin_39566864的博客
02-01 407
管理 Kerberos 数据库Kerberos 数据库是 Kerberos 的主干,必须正确维护。本节介绍有关如何管理 Kerberos 数据库的一些过程,例如备份和恢复数据库、设置增量或并行传播以及管理存储文件。如何手动配置主 KDC 服务器中介绍了该数据库的初始设置步骤。备份和传播 Kerberos 数据库将 Kerberos 数据库从主 KDC 服务器传播到从 KDC 服务器是最重要的配置任...
Kerberos环境搭建
weixin_43824520的博客
07-17 740
1、 安装Kerberos服务端 yum install krb5-server krb5-libs krb5-workstation 2、 修改配置文件 /etc/krb5.conf # Configuration snippets may be placed in this directory as well includedir /etc/krb5.conf.d/ [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/lo
金阊oracle服务器,配置 KDC 服务器
weixin_33267354的博客
04-08 356
配置 KDC 服务器安装 Kerberos 软件之后,必须配置 KDC 服务器。配置一个主 KDC 服务器和至少一个从 KDC 服务器可以提供颁发凭证的服务。这些凭证是 Kerberos 服务的基础,因此在尝试其他任务之前必须安装 KDC。主 KDC 服务器与从 KDC 服务器之间最大的差别是,只有主 KDC 服务器可以处理数据库管理请求。例如,更改口令或添加新主体必须在主 KDC 服务器上完成。...
常见的 Kerberos 错误消息
热门推荐
zy531的专栏
01-31 1万+
http://docs.oracle.com/cd/E19253-01/819-7061/trouble-6/index.html 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息 All authentication systems disabled; connection refused
Kerberos安装及使用2(Kerberos服务器KDC安装及配置)
Siobhan_Mxin的博客
03-16 8035
Kerberos服务器KDC安装及配置 centos虚拟机安装
linux下 command not found 问题的解决
caixen的专栏
10-12 4995
今天在打开centos系统的时候,突然全部命令都不能正常使用了,如:shutdown  reboot   ssh  scp这些。全部都显示   command not found。 费解!!! 前几天还好好的。 找出配置文件 /root/.bash_profile进行修改: 1、进入root路径 2、.bash_profile是隐藏文件,用命令:ls -la 显示出来
Hadoop部署和配置Kerberos安全认证
05-17
Hadoop部署和配置Kerberos安全认证全套流程。已经过实测并部署与生产环境。
Kerberos配置文件
06-27
Kerberos配置文件
Kerberos的相关配置
08-07
对于AD域控制器下设置kerberos,以及iis登陆使用kerberos认证方式
kafka 配置kerberos安全认证
01-28
这个里面是kafka配置kerberos的详细步骤,其方式也可以应用到kafka自带的认证体系
kerberos从节点同步数据异常--returned a bad exit status (1)
wflh323的专栏
03-12 423
去年kerberos主从服务,从节点一直导入数据失败,异常日志 /var/log/messages Jan1611:00:33cluster102kpropd[177612]:Connectionfrom namenodestandby.lakala.com Jan1611:00:33 clusterkpropd[177612]:/usr/sbin/kpropd:/u...
Kerberos 运维中遇到的问题
h952520296的博客
09-29 5404
记录一下有关 Kerberos 错误消息的信息,包括每个错误出现的原因以及解决此错误的方法。
kerberos认证搭建安装
tiki的博客
12-14 2713
kerberos认证搭建安装一、Kerberos简介1.Kerberos2.Kerberos认证流程2.1客户端认证2.2服务授权2.3服务请求3.kdc集群3.1安装包3.2术语二、安装搭建1.服务器安装1.1安装命令1.2修改配置1.2.1修改KDC的配置文件1.2.2配置KDC服务的权限管理文件1.2.3修改Kerberos的配置文件信息1.3初始化KDC数据库1.4启动1.5KDC 服务器上添加超级管理员账户2.搭建Kerberos客户端环境3.登录验证三、基本命令操作1.登录管理员模式2.基本操作
kerberos认证服务搭建、认证、常用命令
天空之蓝的博客
01-16 5537
文章目录安装KDC 服务器修改配置修改KDC的配置文件配置KDC服务的权限管理文件修改Kerberos的配置文件信息初始化KDC数据库启动KDC服务器启动Kerberos服务器KDC 服务器上添加超级管理员账户搭建Kerberos客户端环境将服务端的配置文件拷贝到客户端客户端配置文件和服务段同步后,进行登陆,验证是否可以成功登陆Kerberos 一些基本操作命令使用kadmin.local命令进入...
kerberos安装
08-27
要安装Kerberos,你可以按照以下步骤进行操作: 1. 安装依赖:首先,确保你的系统上已经安装了一些必要的软件包。对于大多数Linux发行版,你可以使用包管理器来安装这些软件包。例如,在Debian/Ubuntu上,可以运行以下命令来安装所需的依赖项: ``` sudo apt-get update sudo apt-get install build-essential libkrb5-dev ``` 对于其他发行版,请使用相应的包管理器。 2. 下载Kerberos:访问MIT Kerberos官方网站(https://web.mit.edu/kerberos/)并下载最新版本的Kerberos软件包。 3. 解压缩和编译:将下载的软件包解压缩到合适的目录中,并进入解压缩后的目录。然后执行以下命令进行编译和安装: ``` ./configure make sudo make install ``` 这将配置、编译并安装Kerberos。 4. 配置KerberosKerberos的配置文件通常位于`/etc/krb5.conf`。你可以使用文本编辑器打开此文件,并根据你的需求进行配置。配置文件中包含了Kerberos服务器和域的相关设置,以及密钥库和票证缓存的位置等信息。 5. 启动和测试:启动Kerberos服务并进行测试。可以使用以下命令来启动Kerberos服务: ``` sudo systemctl start krb5kdc sudo systemctl start kadmin ``` 然后,你可以使用`kinit`命令获取Kerberos票证,并使用`klist`命令查看你的票证信息,以确保Kerberos正常工作。 这是一个基本的Kerberos安装过程的概述,具体步骤可能会根据你的操作系统和Kerberos版本而有所不同。在实际安装过程中,请参考官方文档和适用于你的操作系统的特定指南以获得更详细的说明和帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值