kerbero更改加密类型已测可用

最新推荐文章于 2024-07-02 08:08:03 发布
最新推荐文章于 2024-07-02 08:08:03 发布
阅读量1.5k 收藏
点赞数
分类专栏: kerberos 文章标签: kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44439549/article/details/109013498
版权

更改之前先备份principal,或者记录现有环境的principal,更改完之后重新添加
/usr/sbin/kdb5_util dump /cfs/backup.dump
kadmin.local
list_principals

1.修改kerberos服务器(主从的话2台都要修改)kdc.conf文件
vim /var/kerberos/krb5kdc/kdc.conf

[logging]
    default = FILE:/data/emr/krb5/krb5libs.log
    kdc = FILE:/data/emr/krb5/krb5kdc.log
    admin_server = FILE:/data/emr/krb5/kadmin.log

[kdcdefaults]
    kdc_ports = 88

[realms]
    BING.TC-SIT = {
        kadmind_port = 749
        max_life = 12h 0m 0s
        max_renewable_life = 7d 0h 0m 0s
        supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
        acl_file = ""
    }

在这里插入图片描述
2.修改/etc/krb5.conf,所有用到kerberos服务的机器都要修改
最好修改之后分发一下/etc/krb5.conf

# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    default_realm = BING.TC-SIT
    default_tgs_enctypes = rc4-hmac
    default_tkt_enctypes =  rc4-hmac
    permitted_enctypes = rc4-hmac

[realms]
BING.TC-SIT = {
  kdc = 172.24.215.11:88
  admin_server = 172.24.215.11
  kdc = 172.24.215.16:88
  admin_server = 172.24.215.16
}

[domain_realm]
.bing.tc-sit = BING.TC-SIT
bing.tc-sit = BING.TC-SIT

3.重新初始化下数据库
kdb5_util create -r BING.TC-SIT -s
如果报错
Failed to start Kerberos 5 Password-changing and Administration.
或者/var/kerberos/krb5kdc/principa已存在不能创建
删除后在执行
rm -rf /var/kerberos/krb5kdc/principal*
kdb5_util create -r BING.TC-SIT -s

4.添加各个服务的principal
脚本load进去
/usr/sbin/kdb5_util load /cfs/backup.dump

5.分发emr.keytab到所有节点的/etc/security/keytab/目录下
/etc/security/keytab/
说明:因为emr的hdfs、zookeeper、hbase、hive、hbase等服务配置的keytab为:
keytab:/etc/security/keytab/emr.keytab
principal:HTTP/_HOST@BING.TC-SIT
目录需要对应

6.备节点更新加密类型
kdb5_util create -r BINGSHENG.TC-SIT -s
如果报错先删掉之前的在创建
rm -rf /var/kerberos/krb5kdc/principal*

然后就可以了。
查看服务状态,应该都为启动状态,如果不是就启动服务
systemctl status krb5kdc
systemctl status kadmin

systemctl start krb5kdc
systemctl start kadmin

最后把
/etc/krb5.conf
分发到所有客户端节点

y小鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kerberos安装配置与使用
九师兄
07-04 4287
1.Kerberos协议: Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安全性 2.1. 环境配置 2.安装 2.1...
kerberos的 kdc_设置Kerberos版本5 KDC以使用AES加密
cusi77914的博客
06-22 2191
您可以使用Kerberos来验证网络上用户和主体的身份。 此过程中使用两种类型的票证:票证授予票证和服务票证。 票证授予票证会验证您请求服务票证。 服务器提供服务票证请求以访问实际服务。 密钥分发中心(KDC)用作发行这些票证的受信任的第三方。 票证已加密,因此只有具有有效私钥的主体或具有整个Kerberos数据库的主体名称,其私钥及其到期的KDC才能对其进行解密。 Kerberos版...
kerberos-KDC秘密丢失中间KDC处理方案详解
最新发布
sunxunyong的博客
07-02 259
kdb5_util dump -mkey_convert /tmp/A@@@_kdc_last #设置master密码和设置的kdc数据库密码一致!,即修改原kdc库密码。kdb5_util dump -mkey_convert /tmp/B@@@_kdc_last #设置master密码和设置的kdc数据库密码一致!scp /tmp/slave_A@@@ 中间kdc节点:/tmp/A@@@_kdc。scp /tmp/slave_B@@@ 中间kdc节点:/tmp/B@@@_kdc。
Systemctl start krb5kdc 无法启动Kerberos服务解决办法
m0_74972727的博客
04-04 1651
Job for kadmin . service failed because the control process exited with error code . See " systemctl status kadmin . service " and " journalctl - xe " for details
【域权限维持】-Skeleton Key
qq_41617902的博客
01-20 193
Skeleton Key:能够让所有域用户使用同一个万能密码(默认是mimikatz)进行登录,现有的所有域用户使用原密码仍能继续登录
KDC添加加密
weixin_38169769的博客
08-27 659
零售KDC管理的域为TESTA.COM 华为集群管理的域为hadoop.com (目前测试了hdfs cli,下午在UAT集群测试下distcp) 一、 零售KDC升级支持AES加密算法 1、 修改/usr/local/var/krb5kdc/kdc.conf文件中的realms部分 master_key_type = des3-cbc...
Hadoop集成Kerberos安全服务器
qq_43541182的博客
03-16 1432
公司里要给Hadoop配置Kerberos,记录一下过程中遇到的问题。
kerbero认证系统搭建.pdf
01-02
Kerberos的核心原理是通过加密技术,使得用户在进行身份验证时能够与服务端建立一个安全会话。 在安装Kerberos时,首先需要在服务器上执行Yum命令安装必要的组件,如`krb5-server`, `krb5-libs`, 和 `krb5-...
「移动安全」kerbero认证系统搭建 - 等级保护.zip
12-04
「移动安全」kerbero认证系统搭建 - 等级保护 网络安全 防火墙 Web安全 安全漏洞 AI安全
WatchAD:AD安全入侵检测系统
02-05
WatchAD在Qihoo 360 Intranet上运行良好已超过六个月,并且发现了一些威胁活动。 为了支持开源社区并促进项目的改进,我们决定基于事件日志检测来开放系统的开源部分。 当前支持以下检测: 发现:使用目录服务...
CDH Kerberos入门与实战
02-27
CDH Kerberos入门与实战 ,非常详细,大家可以下载看看
Kerberos (二) --------- Hadoop Kerberos 配置
在森林里麋了鹿
11-01 1462
Hadoop Kerberos 配置
hadoop集成kerberos错误排查-core dump
Show something
08-29 2665
最近研究kerberos,刚开始安装就遇到了个棘手的问题,core dump了。 好些年不写c程序,这东西还真有点陌生。[root@hadoop165 ~]# service krb5kdc start Redirecting to /bin/systemctl start krb5kdc.service Job for krb5kdc.service failed because a fata
kerberos认证搭建安装
tiki的博客
12-14 2896
kerberos认证搭建安装一、Kerberos简介1.Kerberos2.Kerberos认证流程2.1客户端认证2.2服务授权2.3服务请求3.kdc集群3.1安装包3.2术语二、安装搭建1.服务器安装1.1安装命令1.2修改配置1.2.1修改KDC的配置文件1.2.2配置KDC服务的权限管理文件1.2.3修改Kerberos的配置文件信息1.3初始化KDC数据库1.4启动1.5KDC 服务器上添加超级管理员账户2.搭建Kerberos客户端环境3.登录验证三、基本命令操作1.登录管理员模式2.基本操作
HDFS配置Kerberos认证
热门推荐
wulantian的专栏
12-26 4万+
HDFS配置Kerberos认证 2014.11.04 本文主要记录 CDH Hadoop 集群上配置 HDFS 集成 Kerberos 的过程,包括 Kerberos 的安装和 Hadoop 相关配置修改说明。 注意: 下面第一、二部分内容,摘抄自《Hadoop的kerberos的实践部署》,主要是为了对 Hadoop 的认证机制和 Kerberos 认证协议做个简单
hadoop 添加kerberos认证
hua840812的专栏
03-21 3987
参考Cloudera官方文档:Configuring Hadoop Security in CDH3 一、部署无kerberos认证的Hadoop环境 参考另一篇笔记:hadoop集群部署 或者按照Cloudera的官方文档:CDH3 Installation Guide. 二、环境说明 1、主机名 之前部署hadoop集群时,没有使
【安全】Kerberos相关问题进行故障排除| 常见错误和解决方法
九师兄
01-07 2万+
1.概述 转载 为了学习:Kerberos相关问题进行故障排除| 常见错误和解决方法 2.总结 可以用来帮助诊断Kerberos相关问题的原因并实施解决方案的指南。 3. 症状 单击症状链接转到相应的疑难解答部分。 2.1 Kerberos tgt javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: F.
Kerberos常见错误及解决方案
shkstart的博客
08-31 1万+
1、 Kerberos启动后台日志提示异常:No such file or directory – while initializing database for realm HADOOP.COM 在/var/log/krb5kdc.log中发现No such file or directory – while initializing database for realm HADOOP.COM。 解决方案: ①: 检查kdc.conf和krb5.conf文件是否配置正确,修改配置,注意:配置文件的[kdc
Enabling Active Directory Authentication for VMWare Server running on Linux《转载》
weixin_34074740的博客
09-25 796
Enabling Active Directory Authentication for VMWare Server running on Linux   Version 0.2 - Adam Breidenbaugh - 2007-06-29   Purpose   The purpose of this guide is as follows:   Document ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值