Linux 7.9 部署 KDC 1.15.1

已于 2024-03-10 08:59:57 修改
阅读量862 收藏 24
点赞数 17
分类专栏: Kerberos 文章标签: kerberos
于 2024-03-10 08:58:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42598916/article/details/136595590
版权

Linux 7.9 部署 KDC 1.15.1

文档目录

节点分配

主机名IP 地址端口系统版本KDC 版本KDC 角色
cdh6-0110.10.10.13788CentOS 7.91.15.1Server/Client
cdh6-0210.10.10.138CentOS 7.91.15.1Client
cdh6-0310.10.10.139CentOS 7.91.15.1Client

Kerberos 概述

Kerberos 是一种身份验证协议,明显比基于密码的普通身份验证更加安全。借助 Kerberos,密码绝不会通过网络发送,即使在其它计算机上访问服务也是如此。同时,它也提供了一种机制,允许用户和计算机向网络表明自己身份并接收对管理员配置的区域和服务进行定义的有限访问权限。Kerberos 通过验证其身份来验证实体,Kerberos 还可保护此数据的身份验证,使其不能被外部人员访问和使用
Kerberos 使用对称密钥加密要验证用户到网络服务的身份验证,这意味着密码实际上不会通过网络发送。因此,当用户使用 Kerberos 向网络服务进行身份验证时,试图通过监控网络流量来收集密码的未授权用户实际上会被阻止。最终,消除了网络上未加密密码的传输,并消除了攻击者窃听网络的潜在威胁

在这里插入图片描述

Kerberos 工作流程

  1. 用户在终端上使用 kinit 命令请求认证:kinit -kt admin.keytab admin@EXAMPLE.COM
  2. 用户使用 admin.keytab 文件中的密钥进行身份验证,并指定要认证的主体为 admin@EXAMPLE.COM
  3. KDC(Key Distribution Center) 验证请求:KDC 收到用户的认证请求后,首先验证用户的身份和密钥。它检查 admin@EXAMPLE.COM 是否存在,并且检查用户提供的密钥是否与 admin.keytab 中的密钥匹配
  4. 发放 TGT(Ticket Granting Ticket):如果身份验证成功,KDC 为用户生成一个 TGT。TGT 包含用户的身份信息和一个用于进一步认证的密钥(若 keytab 中包含多个主体,则密钥对应所有已包含主体),称为 TGT Key(Ticket Granting Ticket Key)
  5. 返回 TGT:KDC 返回 TGT 给用户
  6. 用户获取服务票据:用户拥有了 TGT 后,可以使用它来请求特定服务的服务票据。用户希望访问的每个服务都需要一个服务票据
  7. 用户请求服务票据:用户向 KDC 发送服务票据请求,请求包括用户的 TGT 和要访问的服务的标识
  8. KDC 发放服务票据:KDC 收到服务票据请求后,验证用户的 TGT 和请求的服务标识。如果验证通过,KDC 将为用户生成一个服务票据。服务票据包含用户的身份信息和用于与服务进行通信的密钥
  9. 返回服务票据:KDC 返回服务票据给用户
  10. 用户访问服务:用户拥有了服务票据后,就可以向服务发出请求,并附上服务票据。服务收到请求后,使用服务票据中的密钥来验证用户的身份和票据的有效性。如果验证通过,服务就会提供所请求的服务
  11. 用户注销:当用户不再需要服务时,可以通过 kdestroy 命令销毁 TGT,并在不再需要服务票据时使用 kdestroy 销毁它们

主体概述

在 Kerberos 中,主体(Principal)是用于标识特定实体的名称,可以是用户、服务、主机等。主体的格式通常遵循一定的命名约定,包含了实体的身份信息以及所属的域(Realm)。主体的格式如下:

</identity/>/</instance/>@</REALM/>

  • <identity>:标识实体的身份信息,可以是用户名、服务名、主机名等
  • <instance>(可选):实体的实例信息,通常用于区分同一身份下的不同实例,例如用户的角色、服务的名称等。如果不需要实例信息,可以省略该部分
  • <REALM>:Kerberos 域名,表示主体所属的安全域
主要功能
  1. 身份标识: 主体用于唯一标识特定的实体,例如用户、服务或主机等
  2. 身份验证: 主体用于进行 Kerberos 身份验证,用户或服务可以通过其主体进行身份验证,获取相应的票据(Ticket)来访问受保护的资源
  3. 授权: 主体可以与特定的权限或策略相关联,用于控制对资源的访问权限。Kerberos 根据主体的身份和权限颁发相应的票据,以授权用户或服务对受保护资源的访问
  4. 服务标识: 对于服务主体,主体用于唯一标识特定的服务或资源,用户可以通过服务主体来请求服务票据,从而访问相应的服务
  5. 管理和控制: 主体可以由管理员进行管理和控制,包括创建、删除、修改密钥等操作,以维护系统的安全性和完整性
常见主体
  1. 用户主体(User Principal)
    • 用途:代表系统中的用户身份
    • 样例:alice@EXAMPLE.COMbob@EXAMPLE.COMtest@EXAMPLE.COM
  2. 服务主体(Service Principal)
    • 用途:代表系统中的服务或资源
    • 样例:
      • HTTP 服务:HTTP/server.example.com@EXAMPLE.COM
      • FTP 服务:FTP/server.example.com@EXAMPLE.COM
      • SSH 服务:host/server.example.com@EXAMPLE.COM
      • Hadoop 服务:hive/node1@EXAMPLE.COMhdfs/node2@EXAMPLE.COM
      • 数据库服务:mysql/db.example.com@EXAMPLE.COMpostgres/db.example.com@EXAMPLE.COM
  3. 主机主体(Host Principal)
    • 用途:代表系统中的主机或服务器
    • 样例:host/server.example.com@EXAMPLE.COMhost/client.example.com@EXAMPLE.COM
  4. 管理员主体(Admin Principal)
    • 用途:代表系统管理员身份,用于管理 Kerberos 服务器
    • 样例:admin/administrator@EXAMPLE.COM
  5. 托管服务主体(Managed Service Principal)
    • 用途:由 Kerberos 系统管理的服务主体,通常是为特定服务生成的主体
    • 样例:krbtgt/EXAMPLE.COM@EXAMPLE.COM(用于 TGT 的服务主体)
  6. 委派主体(Proxy Principal)
    • 用途:代表需要进行委派身份验证的服务。
    • 样例:HTTP/server.example.com@EXAMPLE.COM/proxyhdfs/node1@EXAMPLE.COM/proxy

用户主体访问服务主体

  1. 用户在终端上使用 kinit 命令进行认证:kinit -kt admin.keytab admin@EXAMPLE.COM
  2. 用户使用 admin.keytab 文件中的密钥进行身份验证,并指定要认证的主体为 admin@EXAMPLE.COM
  3. 用户通过 Kerberos KDC 进行身份验证,获取了用户主体 test@EXAMPLE.COM 的 TGT
  4. 请求服务票据: 用户想要访问 hive/node1@EXAMPLE.COM 主体,需要向 KDC 请求相应的服务票据
  5. 发送服务票据请求: 用户向 KDC 发送服务票据请求,请求包括用户的 TGT 和要访问的服务主体的名称
  6. KDC 验证请求: KDC 收到用户的服务票据请求后,首先验证用户的 TGT 和请求的服务主体的名称
  7. 服务主体验证: KDC 确认用户已通过认证,且请求的服务主体 hive/node1@EXAMPLE.COM 是存在的
  8. 发放服务票据: 验证通过后,KDC 生成一个服务票据,包含了用户主体 test@EXAMPLE.COM 的身份信息和用于与服务 hive/node1@EXAMPLE.COM 进行通信的密钥
  9. 返回服务票据: KDC 返回服务票据给用户
  10. 访问服务: 用户收到服务票据后,可以使用它来访问服务主体 hive/node1@EXAMPLE.COM。用户将服务票据发送给服务主体 hive/node1@EXAMPLE.COM,服务主体使用票据中的密钥来验证用户的身份和票据的有效性。如果验证通过,服务就会提供所请求的服务,例如允许用户访问 Hive 服务节点 node1
  11. 完成访问: 用户成功访问了 Hive 服务节点 node1,可以执行相应的操作,例如查询数据库

安装 KDC Server 和 Client

由于本文档所安装的 KDC 为 Linux 所提供,所以在安装之前,请确保系统 yum 源能够正常访问

  • 按节点分配,请在 cdh6-01 节点上完成如下操作:
yum install krb5-server krb5-libs krb5-workstation -y
  • 按节点分配,请在 cdh6-02 和 cdh6-03 节点上完成如下操作:
yum install krb5-libs krb5-workstation -y

配置 KDC Server

  • 按节点分配,请在 cdh6-01 节点上完成如下操作:

1. 备份配置文件

cp /etc/krb5.conf /etc/krb5.conf.orig
cp /var/kerberos/krb5kdc/kadm5.acl /var/kerberos/krb5kdc/kadm5.acl.orig
cp /var/kerberos/krb5kdc/kdc.conf /var/kerberos/krb5kdc/kdc.conf.orig

2. 修改配置文件

  • /etc/krb5.conf
cat > /etc/krb5.conf << EOF
includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
 default_realm = CDHKRB.COM

[realms]
# 此域名需与上述 default_realm 保持一致
 CDHKRB.COM = {
  kdc = 10.10.10.137
  admin_server = 10.10.10.137
 }

[domain_realm]
 .cdhkrb.com = CDHKRB.COM
 cdhkrb.com = CDHKRB.COM
EOF
  • /var/kerberos/krb5kdc/kadm5.acl
cat > /var/kerberos/krb5kdc/kadm5.acl << EOF
# 此域名需与 /etc/krb5.conf 中 default_realm 保持一致
*/admin@CDHKRB.COM      *
EOF
  • /var/kerberos/krb5kdc/kdc.conf
cat > /var/kerberos/krb5kdc/kdc.conf << EOF
[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
# 此域名需与 /etc/krb5.conf 中 default_realm 保持一致
 CDHKRB.COM = {
  max_renewable_life= 7d 0h 0m 0s
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }
EOF

3. 创建 Kerberos 数据库

在创建数据库的过程中,需要输入数据库的管理员账户密码

此文档中的密码都设置为:Passw0rd!

kdb5_util create –r CDHKRB.COM -s

启动 KDC Server

  • 按节点分配,请在 cdh6-01 节点上完成如下操作:
systemctl enable krb5kdc --now
systemctl enable kadmin --now

配置 KDC Client

1. 备份配置文件

  • 按节点分配,请在 cdh6-02 和 cdh6-03 节点上完成如下操作:
cp /etc/krb5.conf /etc/krb5.conf.orig

2. 分发配置至 KDC Client

  • 按节点分配,请在 cdh6-01 节点上完成如下操作:
scp /etc/krb5.conf root@cdh6-02:/etc/krb5.conf
scp /etc/krb5.conf root@cdh6-03:/etc/krb5.conf

测试 KDC Server

1. 创建管理员用户主体

  • 如下操作在 KDC Server 节点进行,所以可直接登录 KDC Server
# 登录 KDC Server
kadmin.local

# 创建管理员用户主体
# 需输入密码
addprinc admin/admin@CDHKRB.COM

2. 验证新建用户

  • 在 cdh6-02 节点上进行如下操作:
# 需输入密码
kinit admin/admin@CDHKRB.COM

# 查看当前认证状态
klist

# 输出结果
# 默认主体为指定 admin/admin@CDHKRB.COM
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: admin/admin@CDHKRB.COM

Valid starting       Expires              Service principal
03/08/2024 10:09:28  03/09/2024 10:09:28  krbtgt/CDHKRB.COM@CDHKRB.COM
        renew until 03/15/2024 10:09:28
JP.Hu
关注
  • 17
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
LINUX安装KDC服务
shatianyzg的博客
07-31 794
1.配置linux-3为NFS服务器,目录为/srv/share的共享要求为10.10.70.0/24网络用户具有读写权限,所有用户映射为tom;5.配置linux-4为NFS客户端,新建/mnt/share和/mnt/tmp,分别挂载linux-3上的/srv/share和/srv/tmp。修改/var/kerberos/krb5kdc/kadm5.acl配置。修改/var/kerberos/krb5kdc/kdc.conf。vim/etc/krb5.conf修改红框部分。...
Kerberoslinux安装部署
11
10-09 3503
kerberoslinux环境安装部署 参考博客: https://zhuanlan.zhihu.com/p/425769862 https://blog.csdn.net/Michaelwubo/article/details/109621044
部署KDC
杜海的博客
09-17 717
1、安装kdc server 只需要在kdc中安装 yum install krb5-server.x86_64 krb5-devel.x86_64 2、配置文件 kdc服务器涉及到三个配置文件: /etc/krb5.conf、 /var/kerberos/krb5kdc/kdc.conf、 /var/kerberos/krb5kdc/kadm5.acl hadoop集群中其他服...
KDC+NFS 服务配置
kaml200626的博客
11-02 1337
KDC运用到NFS中
Linux 安装Kerberos认证KDC服务
热门推荐
sharkdoodoo
07-04 1万+
最近需要给hadoop集群加上安全验证,采用kerberos作为认证,这里记录一下安装kerberos kdc的经验
kerberos开启kdc的debug日志
世上本没有路,走的人多了,也便成了路
10-07 1851
kerberos开启kdc的debug日志
2022国赛正式题NFS解题方法
tengda521的博客
11-12 1379
任务描述:请采用 nfs,实现共享资源的安全访问。1.配置 linux2 为 kdc 服务器,负责 linux3 和 linux4 的验证。2.在 linux3 上,创建用户,用户名为 xiao,uid=2000,gid=2000,家目录为/home/xiaodir。3.配置 linux3 为 nfs 服务器,目录/srv/sharenfs 的共享要求为:linux 服务器所在网络用户有读写权限,所有用户映射为 xiao,kdc 加密方式为 krb5p。
Windows AD域使用Linux Samba
Q先生
09-21 1170
配置服务器名hosts文件配置,确保正常解析到本机和域控确保域控为dns禁用selinux配置防火墙(或者直接关闭防火墙)
linux NFS加密krb5p
现职中网搭技能比赛选手入门经验
10-11 1812
昨天有个粉丝在一个群里问一个这样的问题,如图:然后我也有一个类似的问题,如图:经过比对可以看到我的这个更详细一点,也更简单一点,于是我就在我的题目上加一点改动,就是加上粉丝那道题的加密。
KDC.rar_KDC
09-23
KDC双击互联所用,可自行分离KDC与客户端,和服务端
KDC集群安装&维护文档
01-21
此错误消息表明KINIT身份验证失败,因为客户端证书,KDC证书或其上方签名链中的某个证书已过期 kprop: No route to host while connecting to server 确保754端口的开启并需要关闭防火墙 kprop: Connection refused ...
云计算Hadoop:快速部署Hadoop集群
07-23
资源名称:云计算Hadoop:快速部署Hadoop集群内容简介: 近来云计算越来越热门了,云计算已经被看作IT业的新趋势。云计算可以粗略地定义为使用自己环境之外的某一服务提供的可伸缩计算资源,并按使用量付费。可以...
Linux加入域的介绍
08-10
"Linux加入域的介绍" 在今天的文章中,我们将介绍如何将 Linux 系统加入到 Windows 域中。本文将详细介绍 Linux 加入域的过程,并提供了相关的配置文件和命令。 Linux 加入域的前提条件是需要安装了 Kerberos 认证...
linux加入windows域之完美方案.doc
11-29
Linux 加入 Windows 域之完美方案 Linux 作为一个开源操作系统,逐渐变得越来越流行,许多企业开始考虑将 Linux 集成到 Windows 域中。然而, Linux 加入 Windows 域并不是一件易事,需要非常复杂的配置和设置。...
简历模板简洁风简洁干练简历模板简历模板简洁风(简洁干练简历模板).zip
06-17
在求职的征途上,一份出色的简历是你通往梦想职位的敲门砖。我们精心准备了一系列面试求职简历模板,旨在帮助你以最佳形象站在潜在雇主面前。这些简历模板不仅设计精美,而且注重内容的清晰呈现,使招聘经理一目了然地看到你的能力和经验。 我们的模板集合了多种风格与布局,无论你是应届毕业生、职场跳槽者还是行业专家,都能在这里找到适合你职业形象的简历设计。每一个模板都经过精心设计,确保你的简历在众多求职者中脱颖而出,同时保持足够的专业度和可读性。 不仅如此,我们的简历模板易于编辑,你可以根据具体职位需求快速调整内容,展现你的个人优势和职业成就。使用这些模板,将大大提高你的面试机会,并帮助你更好地表达自己的价值和潜力。 别让传统且缺乏创意的简历阻碍你迈向成功的道路。立即下载这些精美的简历模板,让你的求职之路更加顺畅,向心仪的工作迈进吧!记住,一个良好的开始是成功的一半,而一份精致的简历,正是你成功的起点。
Python毕业设计-基于深度学习的水果识别系统的源代码+文档说明+数据集+模型(高分项目)
06-17
Python毕业设计-基于深度学习的水果识别系统的源代码+文档说明+数据集+模型(高分项目)本资源中的源码都是经过本地编译过可运行的,评审分达到95分以上。资源项目的难度比较适中,内容都是经过助教老师审定过的能够满足学习、使用需求,如果有需要的话可以放心下载使用。 Python毕业设计-基于深度学习的水果识别系统的源代码+文档说明+数据集+模型(高分项目) Python毕业设计-基于深度学习的水果识别系统的源代码+文档说明+数据集+模型。 Python毕业设计-基于深度学习的水果识别系统的源代码+文档说明+数据集+模型(高分项目)Python毕业设计-基于深度学习的水果识别系统的源代码+文档说明+数据集+模型(高分项目)Python毕业设计-基于深度学习的水果识别系统的源代码+文档说明+数据集+模型(高分项目)Python毕业设计-基于深度学习的水果识别系统的源代码+文档说明+数据集+模型(高分项目)Python毕业设计-基于深度学习的水果识别系统的源代码+文档说明+数据集+模型(高分项目)Python毕业设计-基于深度学习的水果识别系统的源代码+文档说明+数据集+模型(高分项目)
navicat基础操作教程
06-17
Navicat 是一款广泛使用且功能强大的数据库管理工具,它能够连接和管理多种数据库系统,例如 MySQL、MariaDB、Oracle、PostgreSQL、SQLite 等[^1^][^3^][^4^][^5^][^7^][^9^][^10^]。自2001年以来,Navicat 已成为全球超过500万名数据库用户的优选[^1^]。它提供了多达7种语言供客户选择,并且被公认为全球最受欢迎的数据库前端用户界面工具[^1^]。 Navicat 的特点包括强大的数据库连接能力、直观的用户界面、多种功能模块以及数据同步和转换能力[^3^]。它还提供了数据库设计和建模功能,帮助用户规划和设计数据库结构[^3^]。Navicat 适用于多种平台,包括 Microsoft Windows、MacOS、Linux 和 iOS[^1^],并且可以让用户连接到任何本机或远程服务器[^1^]。Navicat Premium 版本允许用户在不同数据库系统间传输数据,并支持批处理作业的计划和执行[^1^]。 Navicat 的功能包括但不限于数据迁移、操作工具、查询编辑、数据库设计器、数据可视化工具、数据
protobuf-3.12.4-cp37-cp37m-win_amd64.whl
最新发布
06-17
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
linux安装kdc
09-05
要在Linux上安装KDC(Key Distribution Center),您可以按照以下步骤进行操作: 1. 在Linux服务器上执行以下命令来安装krb5软件包: ``` yum -y install krb5-server krb5-libs krb5-workstation ``` 2. 执行以下命令以重新初始化KDC数据库: ``` kdb5_util create -r SKILLS.COM -s ``` 3. 添加主机原则并生成主机密钥: ``` kadmin.local addprinc -randkey host/linux3 addprinc -randkey host/linux4 ``` 4. 生成主机密钥表: ``` ktadd host/linux3 ktadd host/linux4 ``` 这样,您就可以在Linux服务器上成功安装KDC了。请注意,这里的步骤假设您已经完成了必要的准备工作,例如配置好了网络和域名解析等。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [LINUX安装KDC服务](https://blog.csdn.net/shatianyzg/article/details/126083705)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

JP.Hu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值