kdc服务器密码修改,kdc配置HA · ZHY ZONE

最新推荐文章于 2022-06-04 23:48:03 发布
最新推荐文章于 2022-06-04 23:48:03 发布
阅读量631 收藏
点赞数
文章标签: kdc服务器密码修改

1 机器

Kdc 主节点:k8s-01

kdc 从节点:k8s-02

2 主节点修改

2.1 主节点修改配置

/etc/krb5.conf

[realms]

TONGDUN.COM = {

kdc = k8s-01

kdc = k8s-02

…(如果有多从kdc,一行一个)

admin_server = k8s-01

}

2.2 添加 principal

kadmin.local

addprinc -randkey host/k8s-01

addprinc -randkey host/k8s-02

//将主、从节点的 princ 整合到 krb5.keytab 中

ktadd -k /etc/krb5.keytab host/k8s-01

ktadd -k /etc/krb5.keytab host/k8s-02

3 从节点搭建

从节点安装参考《KDC 服务安装及配置》

3.1 将 master 上配置同步到从节点

将 master 几个配置拷贝到从服务器:文件: krb5.conf、kdc.conf、kadmin5.acl、master key stash file

scp /etc/krb5.conf root@k8s-02:/etc

scp /etc/krb5.keytab root@k8s-02:/etc

scp /usr/local/krb5/var/krb5kdc/kdc.conf root@k8s-02:/usr/local/krb5/var/krb5kdc/

scp /usr/local/krb5/var/krb5kdc/kadm5.acl root@k8s-02:/usr/local/krb5/var/krb5kdc/

scp /usr/local/krb5/var/krb5kdc/.k5.TONGDUN.COM root@k8s-02:/usr/local/krb5/var/krb5kdc/

3.2 创建 Kerberos 数据库(密码要和主节点保持一致,否则会报错)

kdb5_util

create -r your_realm -s,注意,在Loading random data这里的时候可能会要比较久的时间

[root@ip-172-31-6-148 ~]# kdb5_util create –r TONGDUN.COM -s

Loading random data

4 从节点启动 kpropd 进程

kpropd -S

5 在 slave 上添加/usr/local/krb5/var/krb5kdc/kpropd.acl

cat > /usr/local/krb5/var/krb5kdc/kpropd.acl << EOF

host/k8s-01@TONGDUN.COM

host/k8s-02@TONGDUN.COM

EOF

6 同步数据至 slave db (主节点上执行)

主节点 dump 库信息:

kdb5_util dump /var/kerberos/krb5kdc/slave_data

将库信息拷贝至从节点:

scp /usr/local/krb5/var/krb5kdc/slave_data /usr/local/krb5/var/krb5kdc/slave_data.dump_ok k8s-02:/usr/local/krb5/var/krb5kdc/

让从主机加载主库信息(从库会被整库覆盖)

kprop -f /usr/local/krb5/var/krb5kdc/slave_data k8s-02

成功:提示:Database propagation to k8s-02: SUCCEEDED

注意:hostname 一定要单一。从日志中能看出来。

7 启动从节点 kdc

krb5kdc

8 多从节点数据同步样例

如果多个从节点,定期自动进行主、从库同步,脚本示例

如有两个从 kdc:dp200 和 dp201,在主 kdc 节点上定期执行如下脚本:

#!/bin/sh

kdclist = "dp200 dp201"

kdb5_util dump /usr/local/krb5/var/krb5kdc/slave_data

for kdc in $kdclist

do

scp slave_data slave_data.dump_ok $kdc:/usr/local/krb5/var/krb5kdc/

scp /etc/krb5.keytab $kdc:/etc/

kprop -f /usr/local/krb5/var/krb5kdc/slave_data $kdc

done

9 客户端搭建

将/etc/krb5.conf 拷贝至所有客户端主机的/etc 下。

10 测试

关闭主 kdc 服务,在客户端机器执行已有账号的 kinit 登录,可以正常登录。即说明 ha 生效了。

另外,kdc 的 ha 是根据 krb5.conf 中配置 kdc 的顺序决定的,客户端按配置顺序挨个发请求,第一个 kdc 能访问则不会向后面的 kdc 服务发请求(即:master 不是绑定死的)

如果第一个 kdc 请求不通,则再依次向后面 kdc 发请求。 如果第一个 kdc 再起起来,则下次请求还是会访问第一个 kdc(可以从 kdc 日志中看出来)

鹤运
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kdc服务器密码修改,KDC服务安装及配置
weixin_28923083的博客
08-10 998
KDC服务安装在Cloudera Manager Server所在服务器上(KDC服务可根据自己需要安装在其他服务器)1.在Cloudera Manager服务器上安装KDC服务:yum -y install krb5-server krb5-libs krb5-auth-dialog krb5-workstation2.修改/etc/krb5.conf配置vim /etc/krb5.conf 修...
java获取kdc的tgt_kerberos体系下的应用(yarn,spark on yarn)
weixin_39786141的博客
02-16 406
kerberos 介绍Kerberos实际上一个基于Ticket的认证方式。Client想要获取Server端的资源,先得通过Server的认证;而认证的先决条件是Client向Server提供从KDC获得的一个有Server的Master Key进行加密的Session Ticket(Session Key + Client Info)image.png大体逻辑流程如下:Client向KDC申请...
kdc服务器密码修改,KDC服务安装及配置 · ZHY ZONE
weixin_29007135的博客
08-10 1439
1 Kerberos 介绍Kerberos 这一名词来源于希腊神话 “三个头的狗——地狱之门守护者”。系统设计上采用客户端/服务器结构与DES 加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止 replay 攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。支持 SSO(Single Sign On),用户只需输入一次身份验证信息...
kdc服务器密码修改,kerberos之kdc主备
weixin_39934869的博客
08-10 908
kdc的双击备份,是为了避免某些原因导致KDC主机宕机后,集群都将无法正确得到认证,从而正常访问集群。为了避免出现这种情况,我们需要对kdc进行多机备份。现有两台主机:200.200.200.8centos08200.200.200.9 centos09准备采用上述两台机器来进行kdc的双机备份, 其中centos09作为master,cento08为slave节点。分别在两台主机上搭建kerbe...
KDC 与 一次一密
weixin_34015336的博客
10-19 349
KDC 与 一次一密 密钥分发中心(KDC, Key Distribution Center) 模型 上图为KDC模型: Kerberos 提供一种较好的解决方案,它是由MIT发明的,Kerberos建立了一个安全的、可信任的密钥分发中心(KDC, Key Distribution Center)用户A要想申请与用户B对话,他必须按...
部署KDC
杜海的博客
09-17 727
1、安装kdc server 只需要在kdc中安装 yum install krb5-server.x86_64 krb5-devel.x86_64 2、配置文件 kdc服务器涉及到三个配置文件: /etc/krb5.conf、 /var/kerberos/krb5kdc/kdc.conf、 /var/kerberos/krb5kdc/kadm5.acl hadoop集群中其他服...
KerberosAuthentication-KeyEstablishment:使用 KDC 服务器建立密钥
05-31
使用 KDC 服务器的用户之间的身份验证 对于每个类和方法,我都相应地编写了 JavaDocs。 Main 类实际上是一个类,其中测试了应用程序的所有功能。 这个类中没有函数,只是对预先存在的类和方法的引用。 因为我需要...
KDC.rar_KDC
09-23
8. **服务端与客户端**:在KDC的架构中,服务端是提供特定服务的服务器,而客户端则是请求这些服务的用户终端。KDC 协调两者之间的交互,确保只有经过验证的用户才能访问授权的服务。 综上所述,KDC 是 Kerberos ...
KDC集群安装&维护文档
01-21
Cannot create cert chain: certificate has expired 此错误消息表明KINIT身份验证失败,因为客户端...2、主节点配置文件已从主服务器复制到从节点的预期位置。 3、从节点的默认位置具有keytab文件,且具有主机的信息。
大嘴青蛙KDC加密协议简单实现_vs2013
04-29
- **源代码结构**:可能包括客户端(Client)、服务器端(Server)以及KDC的实现,每个部分都有相应的类和方法来模拟上述的认证流程。 - **加密算法**:可能使用了简单的对称加密算法,如AES或DES,用于在客户端和...
ansible-role-configure_kerberos_kdcs:配置Kerberos KDC
04-08
配置Kerberos KDC 要求 没有任何。 角色变量 没有任何。 依存关系 没有任何 剧本范例 - hosts: servers roles: - { role: 'johanneskastl.configure_kerberos_kdcs' } 执照 BSD-3条款 作者信息 我是Johannes ...
大数据之CDH数仓(12) | Kerberos概述
Knight
10-11 1001
什么是Kerberos Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。 Kerberos不是k8s,Kubernetes简称k8s,是一个开源的,用于管理云平台中多个主机上的容器化的应用,跟我们今天学的Kerbe
Kerberos HA高可用配置
博学而笃志,切问而近思
04-08 1983
Kerberos 高可用配置 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YmnKxnd2-1586329094906)(https://www.kerberos.org/images/krbmsg.gif)] Kerberos 安装(主节点操作) 节点信息 data80 data81 data82 data83 备注 主Kerberos节点:data80 ...
[Kerberos基础]-- kdc集群主从搭建(kerberos相关)
欢迎来到我的博客,一起探索代码里的世界!
03-02 1万+
主机规划 10.10.100.94   master 10.10.100.93   slave 10.10.100.92   client   (一)环境:  名称            版本         CentOS        CentOS release 6.7(Final)        Kerberos        krb5-server-1.10.3-57.e...
Linux 安装Kerberos认证KDC服务
热门推荐
sharkdoodoo
07-04 1万+
最近需要给hadoop集群加上安全验证,采用kerberos作为认证,这里记录一下安装kerberos kdc的经验
浅析java代码是如何获取kerberos principal 的realm和kdc相关信息的
明哥的IT随笔
12-19 1713
我们知道,使用 kerberos 时 java 代码中最关键的配置项是指定默认的realm和默认的kdc,一般我们可以通过在代码中配置环境变量 java.security.krb5.rea...
Kerberos认证原理与环境部署
匠人精神,持之以恒!
06-04 3856
官网:https://www.kerberos.org/ 官方文档:http://web.mit.edu/kerberos/krb5-current/doc/Kerberos中有以下一些概念需要了解:用户principal的形式:其中Instance是可选 的,通常用于更好地限定用户的类型。比如,一个管理员用户通常会有admin instance,即。下面是指代用户的 一些principal的例子: 2)服务principal 用户principal的形式:下面是指代服务principal的例子: 三、Ke
hadoop 添加kerberos认证
hua840812的专栏
03-21 3985
参考Cloudera官方文档:Configuring Hadoop Security in CDH3 一、部署无kerberos认证的Hadoop环境 参考另一篇笔记:hadoop集群部署 或者按照Cloudera的官方文档:CDH3 Installation Guide. 二、环境说明 1、主机名 之前部署hadoop集群时,没有使
kerberos高可用---主从部署
CarbonDioxide12138的博客
03-18 3257
1.  选择slave的master(node2)和slave(node3)上添加对方为可信用户在已有kerbero环境中,再选择一台主机作为slave安装kerbero服务端yum -y install krb5-server krb5-libs krb5-auth-dialog 2.  在kerberosMaster kadmin: addprinc -randkey host/node2 ...
配置linux2为kdc服务器,负责linux3和linux4的验证
最新发布
05-23
要将Linux2配置KDC服务器并负责Linux3和Linux4的验证,需要执行以下步骤: 1. 安装Kerberos软件包 在Linux2上安装Kerberos软件包,包括krb5-server和krb5-workstation。在终端中运行以下命令: ``` sudo yum ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值