kerberos mysql配置_管理 Kerberos 数据库

最新推荐文章于 2024-07-02 08:08:03 发布
最新推荐文章于 2024-07-02 08:08:03 发布
阅读量428 收藏
点赞数
文章标签: kerberos mysql配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39566864/article/details/113582875
版权

管理 Kerberos 数据库

Kerberos 数据库是 Kerberos 的主干,必须正确维护。本节介绍有关如何管理 Kerberos 数据库的一些过程,例如备份和恢复数据库、设置增量或并行传播以及管理存储文件。如何手动配置主 KDC 服务器中介绍了该数据库的初始设置步骤。

备份和传播 Kerberos 数据库

将 Kerberos 数据库从主 KDC 服务器传播到从 KDC 服务器是最重要的配置任务之一。如果传播发生频率不够高,主 KDC 服务器与从 KDC 服务器将无法保持同步。因此,如果主 KDC

服务器关闭,从 KDC 服务器将不能获取最新的数据库信息。此外,如果出于负载平衡目的将从 KDC 服务器配置为主 KDC 服务器,则将该从 KDC 服务器用作主 KDC 服务器的客户机将不能获取最新的信息。所以,必须确保传播发生频率足够高,或者基于更改 Kerberos

数据库的频率配置服务器以进行增量传播。增量传播优先于手动传播,因为手动传播数据库时需要更多的管理开销。此外,执行完全数据库传播时效率也较低。

配置主 KDC 服务器时,可以在 cron 作业中设置 kprop_script 命令以自动将 Kerberos 数据库备份到 /var/krb5/slave_datatrans 转储文件,并将该数据库传播到从 KDC

服务器。不过,与其他任何文件一样,Kerberos 数据库可能会受损。如果在从 KDC 服务器上发生数据受损,您可能不会注意到,因为下一次数据库自动传播会安装一个全新的副本。但是,如果在主 KDC 服务器上发生数据受损,则在下一次传播期间会将损坏的数据库传播到所有从 KDC 服务器。而且,损坏的备份会覆盖主 KDC 服务器上先前未损坏的备份文件。

由于在这种情况下不存在任何“安全”的备份副本,因此还应设置 cron 作业,以便定期将 slave_datatrans 转储文件复制到其他位置,或者使用 kdb5_util 的 dump 命令创建另一个单独的备份副本。这样,即使数据库受损,也可以使用 kdb5_util 的 load

命令在主 KDC 服务器上恢复最新的备份。

另一个重要注意事项是:数据库转储文件包含主体密钥,因此需要防止未经授权的用户访问该文件。缺省情况下,只有 root 身份才具有读写数据库转储文件的权限。要防止未经授权的访问,请仅使用 kprop 命令传播数据库转储文件,该命令会对传送中的数据进行加密。此外,kprop 命令仅将数据传播到从 KDC 服务器,这可以最大程度地降低将数据库转储文件意外发送到未经授权的主机的几率。

2882f309544718bece1a4186acc7f476.gif注意 -如果传播 Kerberos 数据库之后对其进行了更新,而在下一次传播之前该数据库受损,则从 KDC 服务器将不包含这些更新。这些更新将会丢失。因此,如果在计划的定期传播之前向 Kerberos 数据库添加了重要的更新,应手动传播该数据库,以避免数据丢失。

kpropd.acl 文件

从 KDC 服务器上的 kpropd.acl 文件提供主机主体名称的列表(每个名称占一行),用于指定该 KDC 可以通过传播从其接收更新数据库的系统。如果使用主 KDC 服务器传播到所有从 KDC 服务器,则每个从 KDC

服务器上的 kpropd.acl 文件仅需包含主 KDC 服务器的主机主体名称。

但是,本书中的 Kerberos 安装和后续配置步骤将引导您将同一个 kpropd.acl 文件添加到主 KDC 服务器和从 KDC 服务器。该文件包含所有 KDC 主机主体名称。通过此配置,在传播端 KDC

临时不可用时,可以从任何 KDC 进行传播。而且,通过在所有 KDC 上保留相同副本,可以轻松地维护配置。

kprop_script 命令

kprop_script 命令使用 kprop 命令将 Kerberos 数据库传播到其他 KDC。如果在从 KDC 服务器上运行 kprop_script 命令,则会将该从 KDC

服务器的 Kerberos 数据库副本传播到其他 KDC。kprop_script 接受主机名列表作为参数,该列表以空格分隔,表示要传播的 KDC。

运行 kprop_script 时,将在 /var/krb5/slave_datatrans 文件中创建 Kerberos 数据库的备份,并将该文件复制到指定的 KDC。在完成传播之前,Kerberos 数据库处于锁定状态。

如何备份 Kerberos 数据库成为主 KDC 服务器上的超级用户。

使用 kdb5_util 命令的 dump 命令备份 Kerberos 数据库。# /usr/sbin/kdb5_util dump [-verbose] [-d dbname] [filename [principals...]]-verbose

显示要备份的每个主体和策略的名称。

dbname

定义要备份的数据库的名称。请注意,可以指定文件的绝对路径。如果未指定 -d 选项,则缺省数据库名称为 /var/krb5/principal。

filename

定义用于备份数据库的文件。可以指定该文件的绝对路径。如果未指定文件,数据库将转储到标准输出。

principals

定义要备份的一个或多个主体的列表(以空格分隔)。必须使用全限定主体名称。如果未指定任何主体,则将备份整个数据库。

示例 23-12 备份 Kerberos 数据库

在以下示例中,Kerberos 数据库将备份到名为 dumpfile 的文件。由于指定了 -verbose 选项,备份时会显示每个主体。# kdb5_util dump -verbose dumpfile

kadmin/kdc1.eng.example.com@ENG.EXAMPLE.COM

krbtgt/ENG.EXAMPLE.COM@ENG.EXAMPLE.COM

kadmin/history@ENG.EXAMPLE.COM

pak/admin@ENG.EXAMPLE.COM

pak@ENG.EXAMPLE.COM

changepw/kdc1.eng.example.com@ENG.EXAMPLE.COM

在以下示例中,将备份 Kerberos 数据库中的 pak 和 pak/admin 主体。# kdb5_util dump -verbose dumpfile pak/admin@ENG.EXAMPLE.COM pak@ENG.EXAMPLE.COM

pak/admin@ENG.EXAMPLE.COM

pak@ENG.EXAMPLE.COM

如何恢复 Kerberos 数据库成为主 KDC 服务器上的超级用户。

在主 KDC 服务器上,停止 KDC 守护进程。kdc1 # svcadm disable network/security/krb5kdc

kdc1 # svcadm disable network/security/kadmin

使用 kdb_util 命令 的 load

最低0.47元/天 解锁文章
weixin_39566864
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kerberos mysql配置_Kerberos安装教程及使用详细解说
weixin_39668408的博客
02-01 497
Kerberos协议:Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安全性。2. 安装 Kerberos2.1. 环境...
Python基于Kerberos的图书管理系统源码.zip
10-31
2. 数据库交互模块:图书管理系统的数据存储通常会涉及数据库,如MySQL或PostgreSQL。这部分代码会处理与数据库的连接,确保只有经过Kerberos验证的用户才能进行读写操作。 3. 请求处理模块:这一部分处理用户的请求...
kerberos mysql配置_Kerberos安装&使用
weixin_29943753的博客
01-28 596
Hadoop自身是没有安全认证的,所以需要引入第三方的安全认证机制。kerberos是hadoop比较受欢迎的一种认证方式。kerberos配置比较简单。但是实际使用的时候,如果不严格遵守游戏规则。你会经常遇到“奇怪”的问题。1. 安装kerberos的软件包yuminstallkrb5*vi/etc/krb5.conf2. 修改kerberos配置文件#more/etc/krb5.c...
kerberos-KDC秘密丢失中间KDC处理方案详解
最新发布
sunxunyong的博客
07-02 259
kdb5_util dump -mkey_convert /tmp/A@@@_kdc_last #设置master密码和设置的kdc数据库密码一致!,即修改原kdc库密码。kdb5_util dump -mkey_convert /tmp/B@@@_kdc_last #设置master密码和设置的kdc数据库密码一致!scp /tmp/slave_A@@@ 中间kdc节点:/tmp/A@@@_kdc。scp /tmp/slave_B@@@ 中间kdc节点:/tmp/B@@@_kdc。
mysql kerberos_Kerberos学习(一)
weixin_39560207的博客
02-01 343
Kerberos古已有之,是由MIT开发,对三方进行验证鉴权的服务安全管理系统,很好的体现了西方三权分立的思想。名字来源于希腊神话地狱三个脑袋的看门狗,这只狗在哈利波特中也路过脸。对,跳吧,跳进坑里去吧。一入K坑深似海,从此作者不早起。系统设计上采⽤用客户端/服务器器结构与DES加密技术,并且能够进⾏行行相互认证,即客户端和服务器器端均可对对⽅方进⾏行行身份认证。可以⽤用于防⽌止窃听、防⽌止rep...
kerberos mysql配置_[转] kerberos安装配置与使用
weixin_36421674的博客
02-01 191
1.Kerberos协议:Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安全性2.1. 环境配置安装kerberos前...
MySQL8认证插件——Kerberos Pluggable Authentication
贺浦力特的博客
06-25 326
Kerberos可插拔身份验证是商业产品MySQL Enterprise Edition中包含的扩展。MySQL Enterprise Edition支持一种身份验证方法,该方法允许用户使用KerberosMySQL Server进行身份验证,前提是可以获得适当的Kerberos票证。此身份验证方法在MySQL 8.0.26及更高版本中可用,适用于Linux上的MySQL服务器和客户端。
商业编程-源码-Kerberos 留言簿 v1.0(MYSQL).zip
06-21
MySQL作为数据库管理系统,负责存储和管理用户信息、留言数据等,为整个系统提供了可靠的数据支持。 首先,我们需要了解Kerberos的核心机制。Kerberos协议基于共享密钥认证,通过三步交互实现用户和服务之间的安全...
Python基于Kerberos的图书管理系统源码
06-17
3. 数据库管理:连接到数据库,如MySQL或PostgreSQL,存储图书信息、用户数据和权限设置。在Kerberos验证成功后,根据票证中的权限信息,允许用户执行相应的操作,如借阅、归还书籍等。 4. 权限控制:根据Kerberos...
基于Kerberos的学生成绩管理系统
07-24
4. 数据库交互:Java的JDBC接口可以与各种数据库(如MySQL、Oracle)无缝连接,高效地处理大量成绩数据。 总结,基于Kerberos的学生成绩管理系统利用了Kerberos的安全机制,确保了学生信息安全;同时,通过Java技术...
安全管理sentry+kerberos
12-15
4. **创建Sentry数据库**:在MySQL中创建用于存储Sentry元数据的数据库。 5. **配置数据库连接**:设置Sentry与数据库之间的连接参数。 6. **完成服务添加**:成功安装并启动Sentry服务。 **Sentry与Hive集成** 1. ...
kerberos认证过程(转)
weixin_34221775的博客
09-30 169
http://blog.163.com/jobshot/blog/static/947091982008118105524719/   一、 基本原理 Authentication解决的是“如何证明某个人确确实实就是他或她所声称的那个人”的问题。对于如何进行Authentication,我们采用这样的方法:如果一个秘密(secret)仅仅存在于A和B,那么有个人对B声称自己就是A,B通过让A提供这...
Kerberos协议
EDDJH_31的博客
08-01 729
前几天在复现MS14_068漏洞时,发现漏洞原理跟Kerberos协议有关,当时就大致看了一下。今天下午突然看到Kerberos协议的时候,发现自己对协议还是不太明白,所以在网上找了些资料认真看了一下,做个总结跟大家分享一下 Kerberos(/ˈkərbərəs/)是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。 协议的安全主要依赖
mysql kerberos_通过Kerberos认证访问Oracle 11g
weixin_33078391的博客
02-26 142
1.通过OUI配置Oracle数据库的高级安全选项和网络服务 2.配置kerberos认证 ①执行指令netmgr,点击认证标签,在Available Methods1.通过OUI配置Oracle数据库的高级安全选项和网络服务2.配置kerberos认证①执行指令netmgr,点击认证标签,在Available Methods, 选择KERBEROS5,移动到Selected Methods一列中...
Kerberos (一) --------- Kerberos 部署
在森林里麋了鹿
10-31 737
Kerberos 部署流程
mysql kerberos_kerberos 常用命令
weixin_39965673的博客
02-07 237
假定前提1:你已经知道kerberos是做什么的,有什么用了。2:操作者叫 zhangsan常用命令命令说明kdestroy删除票据kinit zhangsan{需要密码}获取张三的票据票据有效期使用的是默认值,此处是12小时kinit -l 1h zhangsan获取张三的票据,指定过期时间是1小时过期时间的单位有 s秒 m分钟 h小时 d天如果时间超过设置最大值,使用最大值klist查看票据V...
Kerberos安全认证部署和使用(HDP)
清平乐的技术专栏
09-22 2365
对于客户端而言,集群开启Kerberos之后,可以对可信任的客户端提供认证,使得可信任客户端能够正确提交作业,恶意用户无法伪装成其他用户侵入到集群当中,能够有效防止恶意冒充客户端提交作业的情况。对于服务端而言,集群开启Kerberos之后,集群中的服务都是可以信任的,集群服务之间使用密钥进行通信,避免了冒充服务的情况。 开启Kerberos能够提升集群的安全性,但是也会提升用户使用集群的复杂度,提交作业的方式与没有开启Kerberos前会有一些区别,需要对作业进行改造,增加Kerberos认证的相关内容。
Kerberos 安装与配置 (七)
热门推荐
Stay Focused And Work Hard !!!
08-09 1万+
7.1 KDC server的 安装1、安装最新版的KDC server ​ yum install krb5-server krb5-libs krb5-workstation 注:KDC (Key Distribution Center)密匙分配中心, 其在kerberos中通常提供两种服务: 1.Authentication Service (AS):认证服务
常见的 Kerberos 错误消息
zy531的专栏
01-31 1万+
http://docs.oracle.com/cd/E19253-01/819-7061/trouble-6/index.html 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息 All authentication systems disabled; connection refused
Linux环境下Qmail配置MySQL安装指南
- 其他依赖软件包括`httpd`(Apache HTTP服务器)、`gdbm`(通用数据库管理)、`openssl`(加密库)、`stunnel`(安全传输层隧道)和`krb5-devel`(Kerberos开发库)。 2. **检查和安装RPM软件包**: - 使用`rpm ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值