Linux服务管理-kerberos实验

最新推荐文章于 2025-03-10 15:45:07 发布
最新推荐文章于 2025-03-10 15:45:07 发布
阅读量459 收藏 2
点赞数 10
分类专栏: Linux服务管理 文章标签: linux 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52377412/article/details/144169734
版权

Kerberos+ssh

Kerberos+SSH是一种结合Kerberos认证协议和SSH(Secure Shell)安全协议的技术方案,旨在提供更安全、便捷的单点登录(SSO)体验。

在client修改sshd服务配置

[root@client ~]# vim /etc/ssh/sshd_config(以下内容找到相同的行修改,或解注释修改)
KerberosAuthentication yes
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
GSSAPIKeyExchange yes
UsePAM yes
[root@client ~]# systemctl restart sshd

在kerberos服务端

[root@kdc ~]# kadmin.local
kadmin.local:  addprinc testuser11@KUNPENG.COM
No policy specified for testuser11@KUNPENG.COM; defaulting to no policy
Enter password for principal "testuser11@KUNPENG.COM": (123456)
Re-enter password for principal "testuser11@KUNPENG.COM": (123456)
Principal "testuser11@KUNPENG.COM" created.
kadmin.local:
kadmin.local:  ktadd -k /tmp/client-host.keytab host/client.kunpeng.com@KUNPENG.COM
kadmin.local:  quit
[root@kdc ~]#
[root@kdc ~]# ll /tmp/client-host.keytab 
-rw-------. 1 root root 424 May  6 09:36 /tmp/client-host.keytab
[root@kdc ~]#

在客户端测试

[root@client ~]# scp kdc.kunpeng.com:/tmp/client-host.keytab /etc/krb5.keytab
[root@client ~]# kinit -kt /etc/krb5.keytab host/client.kunpeng.com@KUNPENG.COM
[root@client ~]# klist 输出略
此时客户端没有testuser11用户:
[root@client ~]# kinit testuser11
Password for testuser11@KUNPENG.COM: (123456)
[root@client ~]#
[root@client ~]# ssh testuser11@client.kunpeng.com 
testuser11@client.kunpeng.com's password: 
Permission denied, please try again.
testuser11@client.kunpeng.com's password: 
Permission denied, please try again.
testuser11@client.kunpeng.com's password: 
​
[root@client ~]#此时,使用kerberos的密码无法登陆

创建testuser11用户

[root@client ~]# useradd testuser11
[root@client ~]# ssh testuser11@client.kunpeng.com (用主机名可免密登录)
Activate the web console with: systemctl enable --now cockpit.socket
​
Last failed login: Tue May  7 10:08:24 CST 2024 from 192.168.99.134 on ssh:notty
There were 3 failed login attempts since the last successful login.
[testuser11@client ~]$ exit
logout
Connection to client.kunpeng.com closed.
[root@client ~]# ssh testuser11@127.0.0.1
testuser11@127.0.0.1's password: (123456)
Activate the web console with: systemctl enable --now cockpit.socket
​
Last login: Tue May  7 10:08:56 2024 from 192.168.99.134
[testuser11@client ~]$ exit
logout
Connection to 127.0.0.1 closed.
[root@client ~]#

Kerberos+Ldap

Kerberos与LDAP的集成是一种常见的身份认证和授权机制。Kerberos+LDAP广泛应用于企业内部的身份认证和授权系统。例如,在企业内部网络中,可以使用Kerberos+LDAP来实现对用户访问权限的细粒度控制,确保只有经过认证的用户才能访问特定的资源和服务。此外,Kerberos+LDAP还可以用于构建单点登录系统,方便用户在不同系统之间进行无缝切换。

在之前的ldap实验中,cache_credentials = true,会缓存凭证,sssd会缓存用户信息,sss_cache -E命令可以清除缓存,但是清除不彻底,可以删除缓存文件,然后重启服务清空缓存。注: 此时的ldap服务器关闭了slapd服务

[root@client ~]# rm -rf /var/lib/sss/db/cache_*
[root@client ~]# id ldapuser
uid=1001(testuser11) gid=1001(testuser11) groups=1001(testuser11)
[root@client ~]# systemctl restart sssd oddjobd.service 
[root@client ~]# id ldapuser
id: ‘ldapuser’: no such user
[root@client ~]#
​
[root@kdc ~]# kadmin.local 
Authenticating as principal root/admin@KUNPENG.COM with password.
kadmin.local:  addprinc ldapuser@KUNPENG.COM(密码redhat)
[root@client ~]# kinit ldapuser
Password for ldapuser@KUNPENG.COM: 
[root@client ~]#
[root@client ~]# ssh ldapuser@client.kunpeng.com 
ldapuser@client.kunpeng.com's password: 
Permission denied, please try again.
ldapuser@client.kunpeng.com's password: 
[root@client ~]#无法登陆
​
[root@server ~]# systemctl start slapd.service 启动ldap服务端服务

Client测试

[root@client ~]# id ldapuser
uid=1001(testuser11) gid=1001(testuser11) groups=1001(testuser11)
[root@client ~]# ssh ldapuser@client.kunpeng.com 
Activate the web console with: systemctl enable --now cockpit.socket
​
Last failed login: Tue May  7 10:33:43 CST 2024 from 192.168.99.134 on ssh:notty
There were 2 failed login attempts since the last successful login.
Last login: Tue May  7 10:21:15 2024 from 192.168.99.135
[testuser11@client ~]$ exit
logout
Connection to client.kunpeng.com closed.
[root@client ~]# 可以登陆

如上,sssd服务配置不修改,可以正常集成kerberos和ldap,也可以按如下方式修改

[root@client ~]# cat /etc/sssd/sssd.conf
[domain/default]
id_provider = ldap
autofs_provider = ldap
auth_provider = krb5
chpass_provider = ldap
krb5_realm = KUNPENG.COM
krb5_server = kdc.kunpeng.com
krb5_keytab = /etc/krb5.keytab
ldap_uri = ldap://server.kunpeng.com/
ldap_search_base = dc=kunpeng,dc=com
ldap_id_use_start_tls = True
cache_credentials = True
ldap_tls_cacertdir = /etc/openldap/certs
ldap_tls_cacert = /etc/openldap/certs/cert.pem
ldap_tls_reqcert = hard
​
[sssd]
services = nss, pam, autofs
domains = default
​
[nss]
homedir_substring = /home
​
[pam]
[root@client ~]#
[root@client ~]# systemctl restart sssd oddjobd.service
[root@client ~]# ssh ldapuser@client.kunpeng.com 
Activate the web console with: systemctl enable --now cockpit.socket
Last login: Tue May  7 10:35:02 2024 from 192.168.99.134
[testuser11@client ~]$ exit
logout
Connection to client.kunpeng.com closed.
[root@client ~]#

Kerberos认证实验
王宁的博客
06-06 4349
Kerberos认证实验 实验目的 1.了解身份认证的原理及其重要意义 2.学习Kerberos身份认证全过程 3.学会在Linux下配置Kerberos身份认证系统 系统环境 Kerberos实验同样需要3台机器,分别扮演不同的角色:(服务器linux6.2) 192.168.71.134 kdc.example.com Kerberos服务器和NIS服务器 192.16
Kerberoslinux安装部署
11
10-09 3998
kerberoslinux环境安装部署 参考博客: https://zhuanlan.zhihu.com/p/425769862 https://blog.csdn.net/Michaelwubo/article/details/109621044
kerberos集群安装部署【详细】
最新发布
mandiandengwo的博客
03-10 1250
kerberos的基本原理不做过多介绍了,可自行查阅;本文主要介绍kerberos的安装及使用;使用到的软件版本:系统:Red Hat Enterprise Linux release 8.6 (Ootpa) 、krb5-server:1.18.2。Kerberos Client 根据需要进行安装,安装后可以使用 kadmin 命令;对应在 Kerberos Server 上使用 kadmin.local 命令。Kerberos 服务机器上可以使用 kadmin.local 来执行各种管理的操作。
linuxkerberos教程
weixin_34167819的博客
03-09 292
一、kerberos介绍         Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”系统设计上采用客户端/服务器结构与DES加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止replay攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。支持SSO 二、kerberos三方安全认证协议   1、Kerber...
Linux服务管理-kerberos
weixin_52377412的博客
11-13 1226
半个小时学会kerberosKerberos 是一种网络认证协议。它旨在通过使用密钥加密为客户端 / 服务器应用程序提供强大的认证。
kerberos服务安装-linux环境
W_StackOverFlow_W的博客
10-18 2256
kerberos环境搭建的步骤及常用命令。
LINUX下的kerberos的安装配置
05-05
kerberos是由mit开发的提供网络认证的系统。使用kerberos自己提供的ktelnetd、krlogind、krshd来替换传统的telnetd、rlogind、rshd服务。
linux kerberos认证,Kerberos 认证过程详解
weixin_36197581的博客
05-15 1875
kerboros认证过程如下:前提:client和server都在kdc上已注册.第一步 Authentication Service Exchange第二步 Ticket Granting Service Exchange第三步 Client/Server Exchange首先Client向kdc申请server服务,kdc查看server服务是受保护的服务,所以要验证client的身份,这就是...
Linux运维-08-Linux云计算-集群- 文件存储之NFS课件资料.zip
06-01
Linux运维中,理解NFS的工作原理、配置和管理是必不可少的技能。 首先,我们要了解NFS的工作流程,包括客户端如何通过RPC(Remote Procedure Call)与服务器进行通信,以及如何处理文件系统的挂载和卸载。NFS协议...
实现基于Linux系统的Kerberos实验
06-01
下面是基于Linux系统的Kerberos实验的步骤: 1. 安装Kerberos软件包 在Linux系统中安装Kerberos软件包,可以使用以下命令: ``` sudo apt-get install krb5-user krb5-config krb5-kdc krb5-admin-server ``` 2....
"Linux网络认证实验Kerberos和LDAP服务器配置及应用
实验13Linux网络认证实验201911181是一个针对Linux系统中配置和应用Kerberos认证、LDAP认证和SAMBA LDAP认证服务器实验实验目的在于掌握Linux中配置Kerberos认证服务器的方法,理解基于Kerberos的网络认证过程;...
实验13Linux网络认证实验201911181
08-03
实验13 Linux网络认证实验主要关注的是在Linux环境中配置和使用Kerberos、LDAP以及SAMBA+LDAP作为网络认证服务。这些技术对于大型网络环境的安全管理和用户身份验证至关重要。 Kerberos是一种强大的网络认证协议,...
kerberos&ssh 原理、免密登录搭建
波士地盘
12-16 927
原理 详细介绍 参考oracle文档:Kerberos 服务 安装过程 1.安装krb5 yum install -y krb5-server yum install krb5-workstation pam_krb5 -y 用hosts代替dns [root@localhost ~]# cat /etc/hosts 127.0.0.1 localhost localhost.lo...
基于Kerberos的跨域身份认证实验
Shirongliang的博客
12-03 2582
跨域身份认证技术是身份认证技术的一种典型应用,随着云计算的快速发展和大规模部署,传统的网络架构发生了深刻的变革,带来了新的安全挑战。在云环境下,身份提供者、认证凭证和签发机构的多元化造成用户访问时需穿越多个安全域,跨域身份认证已成为云安全的难点问题。Kerberos是一种网络认证协议,它使用对称加密的技术实现网络中的身份认证。目前大数据组件(如HDFS/ YARN/ HBase/Hive/Kafka/Spark 等等)基本上都默认支持Kerberos身份认证。
Kerberos配置SSH免密登录
aryoyo的博客
06-07 5064
环境:KDC server:hostname: yaya.example.com, ip: 192.168.0.104   ;          客户端:hostname: yaya2.example.com  ip: 192.168.0.106在KDC server上:1.安装:yum install krb5\*[root@yaya log]# rpm -qa|grep -i krb5krb5...
Kerberos协议及其利用
qq_53058639的博客
08-11 207
之前就一直想着抽空学学内网渗透相关的东西,无奈被各种事情耽搁。。。刚好这两天闲下来,就把之前留的坑填一下。本文涉及相关实验:[Kerberos网络认证协议搭建与分析](https://www.hetianlab.com/expc.do?wemedia)(本实验主要介绍了windowsserver2003系统的域和DNS服务器的搭建,通过本实验的学习学会kerberos网络认证协议搭建方式。
01、Kerberos安全认证之原理及搭建命令使用学习笔记
每个人都是独一无二的,把握好自己的节奏,跟着自己的心走。
07-11 2061
学习kerberos主要原因是目前部门里会有测试kerberos连通性的问题bug,所以以此来系统学习下kerberos安全认证,主要是学习在kerberos安全配置下如何去访问各个大数据组件。
Kerberos 的安装和使用
傅腾的专栏
06-15 6002
讲述 Kerberos 详细的安装和使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值