kerberos安装

  1. 配置KDC主服务器

    1. 安装需要的包

#yum install krb5-serverkrb5-libs krb5-workstationpam_krb5 -y

  1. 修改主机名,如果有DNS服务器,不需要配置

#vim /etc/hosts


10.22.225.212   gamekerberos.opi.com      kerberos1

10.30.33.60       gamekerberos2.opi.com    kerberos2
  1. Master服务器配置

#vim /etc/krb5.conf


[logging]

default = FILE:/var/log/krb5libs.log

kdc = FILE:/data/krb5kdc.log

admin_server = FILE:/var/log/kadmind.log

[libdefaults]

default_realm = GAME.OPI.COM

dns_lookup_realm = false

dns_lookup_kdc = false

ticket_lifetime = 24h

renew_lifetime = 7d

forwardable = yes

[realms]

GAME.OPI.COM = {

kdc = gamekerberos.opi.com:88

kdc = gamekerberos2.opi.com:88

admin_server = gamekerberos.opi.com:749

default_domain = opi.com

}

[domain_realm]

.opi.com = GAME.OPI.COM

opi.com = GAME.OPI.COM

[appdefaults]

pam = {

debug = false

ticket_lifetime = 24h

renew_lifetime = 24h

forwardable = true

krb4_convert = false

}

#vim /var/kerberos/krb5kdc/kdc.conf


[kdcdefaults]

v4_mode = none

#kdc_tcp_ports = 88

[realms]

GAME.OPI.COM = {

master_key_type = des3-hmac-sha1

acl_file = /var/kerberos/krb5kdc/kadm5.acl

dict_file = /usr/share/dict/words

admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab

#max_life = 7d

max_renewable_life = 7d

supported_enctypes = des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal des-cbc-crc:v4 des-cbc-crc:afs3

}
  1. 创建kerberos数据库,会让你输入

#kdb5_util create -r GAME.OPI.COM –s

将在/var/kerberos/krb5kdc/下生成很多文件

 

文件解释,kadmin.acl为kadmin允许用户列表,kdc.conf为加密方式

 
  1. 定义策略,kadmin.local本地登录

#kadmin.local

#kadmin.local: add_policy -maxlife 360days -minlife 3days -minlength 8 -minclasses 3-history 3 default

#密码有效期90天;最少使用3天;密码最小长度为8个字符,这些字符必须来自5个可用类型中3个不同的类型:小写字母、大写字母、数字、标点符号和其他;不能修改为最近3次的密码。

  1. master服务器上,添加admin用户

#kadmin.local:  addprincadmin/admin

查看指定帐户信息

#kadmin.local:  getprincadmin/admin

查看所有帐户信息

#kadmin.local: listprincs

  1. 通配符实现授予所有权限,修改域名

#vim /var/kerberos/krb5kdc/kadm5.acl


*/[email protected]  *

admin/[email protected]  *
  1. 创建包含密钥的keytab文件,用于远程管理KDC

#kadmin.local:  ktadd -k /var/kerberos/krb5kdc/kadm5.keytab kadmin/changepw

  1. 启动KDC服务和Kadmin服务

#service krb5kdc start

#service kadmin restart

  1. 使用kinit命令,测试admin账户是否生成成功

#kinit admin/admin

  1. 配置KDC从服务器

    1. 安装需要的包

#yum install krb5-server krb5-libs krb5-workstation pam_krb5 -y

  1. 将master服务器上的几个文件拷贝到slave服务器上

#scp /etc/krb5.conf kerberos2:/etc/

#cd /var/kerberos/krb5kdc/

#scp kdc.conf kadm5.acl .k5.GAME.OPI.COM kerberos2:/var/kerberos/krb5kdc/

  1. 创建host  keytab 文件

在master服务器上

kadmin: addprinc  -randkey  host/gamekerberos.opi.com

#添加principal

kadmin:ktadd–k /etc/krb5.keytab host/gamekerberos.opi.com

#生成keytab文件

在slave服务器上

kadmin: addprinc  -randkey  host/gamekerberos2.opi.com

#添加principal

kadmin:ktadd–k /etc/krb5.keytab host/gamekerberos2.opi.com

#生成keytab文件

  1. 再slave服务器上创建数据库同步的配置文件,如多个slave,添加多个

#vim /var/kerberos/krb5kdc/kpropd.acl


host/[email protected]

host/[email protected]
  1. 在slave上启动kpropd服务

#kpropd –S

查看端口号和进程,如果有就说明kpropd服务器已经启动

#netstat -nalp|grep 754

#ps aux|grep kpropd

至此,slave上的KDC服务还不能启动,因为无KDC的database数据

  1. 将master服务器上的相关数据同步到slave上

#kdb5_util dump /var/kerberos/krb5kdc/slave_data

#kprop -f /var/kerberos/krb5kdc/slave_data gamekerberos2.opi.com

成功后,会出现以下信息:

Database propagation to gamekerberos2.opi.com: SUCCEEDED

  1. slave上/var/kerberos/krb5kdc/会多出一些文件

from_master

principal

principal.ok

pricipal.kadm5

principal.kadmin5.lock
  1. 测试主从是否生效

    1. 从第三台服务器,使用kinit 获取ticket,正常情况下会从master上获取
    2. 关闭master上的KDC服务
    3. 再次从第三台服务器上,使用kinit 获取ticket,如果成功,说明生效
    4. 也可以观察KDC的日志,主从都tail

#tail -f/var/log/krb5kdc.log

  1. 当有多台slave时,定时更新脚本可以这样:

#!/bin/sh

kdclist = "gamekerberos2.opi.comgamekerberos3.opi.com "

kdb5_util dump /var/kerberos/krb5kdc/slave_date

for kdc in $kdclist

do

kprop -f /var/kerberos/krb5kdc/slave_data $kdc

done
  1. 修改防火墙策略开启tcp 88、749、754和646端口

#88 kerberos

#749 admin_server

#754 kpropd

#646 kpasswd

#vim /etc/sysconfig/iptables


-A INPUT -m state --state NEW -m tcp -p tcp --dport 88 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 749 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 754 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport646 -j ACCEPT

-A INPUT -m state --state NEW -m udp -p udp --dport 749 -j ACCEPT

-A INPUT -m state --state NEW -m udp -p udp --dport 754 -j ACCEPT

#service iptables restart

时间: 2024-11-08 07:59:52

kerberos安装的相关文章

Kerberos安装及使用

2. 安装 Kerberos2.1. 环境配置 安装kerberos前,要确保主机名可以被解析. 主机名 内网IP 角色 Vmw201 172.16.18.201 Master KDC Vmw202 172.16.18.202 Kerberos client Vmw203 172.16.18.203 Kerberos client 2.2 Configuring a Kerberos Server2.2.1 确保环境可用 确保所有的clients与servers之间的时间同步以及DNS正确解析2

Centos中,Kerberos安装

1.安装软件包 安装必须的工具 bison, make, binutils 下载压缩包至/usr/local目录下,并解压 [[email protected] local]# ls krb5-1.14.tar.gz krb5-1.14.tar.gz 2.编译Kerberos 切换目录至/krb5-1.14/src 在/krb5-1.14/src文件夹下, 运行configure命令 [[email protected] src]# ./configure --prefix=/usr/local

Kerberos安装&使用

Hadoop自身是没有安全认证的,所以需要引入第三方的安全认证机制.kerberos是hadoop比较受欢迎的一种认证方式.kerberos配置比较简单.但是实际使用的时候,如果不严格遵守游戏规则.你会经常遇到"奇怪"的问题. 1. 安装kerberos的软件包 yum install krb5* vi /etc/krb5.conf 2. 修改kerberos的配置文件 # more /etc/krb5.conf  [logging]  default = FILE:/var/log/

[转] kerberos安装配置与使用

[From] https://blog.csdn.net/lovebomei/article/details/79807484 1.Kerberos协议: Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On).由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安全性 2.1.

【大数据安全】Kerberos集群安装配置

1. 概述 Kerberos是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份.它也指由麻省理工实现此协议,并发布的一套免费软件.它的设计主要针对客户-服务器模型,并提供了一系列交互认证--用户和服务器都能验证对方的身份.Kerberos协议可以保护网络实体免受窃听和重复攻击. Kerberos协议基于对称密码学,并需要一个值得信赖的第三方.Kerberos协议的扩展可以为认证的某些阶段提供公钥密码学支持. 2. 环境说明: CDH版本:5.

GitLab安装说明

http://blog.csdn.net/huangzhijie3918/article/details/51330425 GitLab,是一个使用 Ruby on Rails 开发的开源应用程序,与Github类似,能够浏览源代码,管理缺陷和注释,非常适合在团队内部使用. gitlab是基于Ruby on Rails的,安装和配置非常麻烦,不过有傻瓜安装包,https://about.gitlab.com/downloads/,或者,https://bitnami.com/stack/gitl

Linux 编译安装之基础参数篇

此文转载:感谢zjt289198457的专栏 ./configure 该脚本将运行一些测试来猜测一些系统相关的变量并检测你的操作   系统的特殊设置,并且最后在制做树中创建一些文件以记录它找到了什么.         缺省设置将制作服务器和应用程序,还有所有只需要C编译器的客户端程序和接口. 缺省时所有文件都将安装到   /usr/local/pgsql.         你可以通过给出下面   configure   命令行选项中的一个或更多的选项来客户化   制作和安装过程:        

CentOS 自定义安装GitLab

准备工作和说明 说明: 本文主要参考官方文档而来 gitlab 安装路径为/data/git 基于CentOS minimal 系统,系统安装时没有安装依赖包,可以安装开发包,也可依报错信息安装缺少依赖. 主要涉及以下组件安装与配置 依赖包 Ruby Go System Users Database Redis GitLab Nginx 1. 依赖包安装 更新系统及软件包 #以 root 用户运行 yum update -y yum upgrade -y 安装 vim wget yum inst

CentOS源码安装GitLab汉化版第2版

软件版本: CentOS 7.2 Git 2.12.0 Ruby 2.3.3 Node.js 6.10.1 Redis 3.2.8 MariaDB 10.1.20 GitLab 8.8.5汉化版 GitLab Shell 2.7.2 Nginx 1.10.3 Go 1.8 GitLab-Workhorse 0.7.1 一.安装依赖 yum -y install libicu-devel patch gcc-c++ readline-devel zlib-devel libffi-devel op