一、Kerberos Master
1.yum安装服务
yum install -y krb5-server krb5-libs krb5-workstation
2.修改/etc/krb5.conf(只修改中文注释下面的就可以,其余的可以采取默认方式)
includedir /etc/krb5.conf.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
//打开默认域,配置成自己的想要设置的,必须都大写
default_realm = EXAMPLE.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
//修改域名,填写kdc和admin server主机
EXAMPLE.COM = {
kdc = henghe-032
admin_server = henghe-032
}
//和上面设置的域相同
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
说明:
[logging]:表示server端的日志的打印位置
[libdefaults]:每种连接的默认配置,需要注意以下几个关键的小配置
default_realm = EXAMPLE.COM 默认的realm,必须跟要配置的realm的名称一致。
udp_preference_limit = 1 禁止使用udp可以
ticket_lifetime表明凭证生效的时限,一般为24小时。
renew_lifetime表明凭证最长可以被延期的时限,一般为一个礼拜。当凭证过期之后,
对安全认证的服务的后续访问则会失败。
[realms]:列举使用的realm。
kdc:代表要kdc的位置。格式是 机器:端口
admin_server:代表admin的位置。格式是机器:端口
default_domain:代表默认的域名
[appdefaults]:可以设定一些针对特定应用的配置,覆盖默认配置。
3.修改/var/kerberos/krb5kdc/kdc.conf
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
[realms]
HENGHE.COM = {#只需要修改域名就可以
#master_key_type = aes256-cts
acl_file = /var/kerberos/krb5kdc/kadm5.acl
dict_file = /usr/share/dict/words
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
}
4.修改/var/kerberos/krb5kdc/kadm5.acl
//修改域,代表只要创建的用户名称带有/admin@HENGHE.COM,就可以任意操作
*/admin@HENGHE.COM *
5.创建kerberos数据库
kdb5_util create -s -r HENGHE.COM
6.进入kadmin命令行,创建一个管理员账号root(可以为任何名字)
kadmin.local
addprinc -randkey root/admin #-randkey代表会随机生成一个密码,不指定需要手动输入密码
7.启动
systemctl start krb5kdc.service
systemctl start kadmin.service
8.设置开机启动
chkconfig krb5kdc on
chkconfig kadmin on
二、Kerberos Client
1.yum安装客户端包
yum install -y krb5-libs krb5-workstation
2.拷贝服务端安装包下的/etc/krb5.conf
三、Window本地安装Kerberos客户端
参考链接:
https://cloud.tencent.com/developer/article/1380570