`
fantaxy025025
  • 浏览: 1329244 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类

Centos中_Kerberos安装和配置_Kerberos配置大全

 
阅读更多

Centos中_Kerberos安装和配置_Kerberos配置大全

from:http://10120275.blog.51cto.com/10110275/1734988

1、安装软件包

 

安装必须的工具 bison, make, binutils

下载压缩包至/usr/local目录下,并解压

[root@localhost local]# ls krb5-1.14.tar.gz 

 krb5-1.14.tar.gz

 

2、编译Kerberos

切换目录至/krb5-1.14/src

在/krb5-1.14/src文件夹下,

 

运行configure命令

[root@localhost src]# ./configure --prefix=/usr/local/krb5-1.14

执行make命令

[root@localhost src]# make

执行make install

[root@localhost src]# make install

 

 

3、IP及域名配置 /etc/hosts

 

 

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4

#::1         localhost localhost.localdomain localhost6 localhost6.localdomain6

127.0.0.1   kerberos.example.com   kerberos  ldap.example.com 

 

4、配置KDC

 

a、配置krb5.conf 

文件说明:(略)

参数说明:(略)

[root@localhost src]# vi /etc/krb5.conf 

 

[logging]

 default = FILE:/var/log/krb5libs.log

 kdc = FILE:/var/log/krb5kdc.log

 admin_server = FILE:/var/log/kadmind.log

 

[libdefaults]

 default_realm = EXAMPLE.COM

 dns_lookup_realm = true

 dns_lookup_kdc = true

 ticket_lifetime = 24h

 renew_lifetime = 7d

 forwardable = true

 

[realms]

 EXAMPLE.COM = {

  kdc = kerberos

  admin_server = kerberos

 }

 

[domain_realm]

 .example.com = EXAMPLE.COM

 example.com = EXAMPLE.COM

[kdc]

 profile = /usr/local/krb5-1.14/var/krb5kdc/kdc.conf

 

 

b、在krb5.conf文件制定位置,创建kdc.conf

[root@localhost krb5kdc]# pwd

/usr/local/krb5-1.14/var/krb5kdc

[root@localhost krb5kdc]# vi kdc.conf

文件说明:(略)

参数说明:(略)

[kdcdefaults]

    kdc_ports = 88

 

[realms]

    EXAMPLE.COM = {

        profile = /etc/krb5.conf

        database_name = /usr/local/krb5-1.14/var/krb5kdc/principal

        admin_database_name = /usr/local/krb5-1.14/var/krb5kdc/kadm5_adb

        admin_database_lockfile = /usr/local/krb5-1.14/var/krb5kdc/kadm5_adb.lock

        admin_keytab = FILE:/usr/local/krb5-1.14/var/krb5kdc/kadm5.keytab

        acl_file = /usr/local/krb5-1.14/var/krb5kdc/kadm5.acl

        key_stash_file = /usr/local/krb5-1.14/var/krb5kdc/.k5stash

        kdc_ports = 88

        kadmind_port = 749

        max_life = 10h 0m 0s

        max_renewable_life = 7d 0h 0m 0s

        master_key_type = des-cbc-crc

        supported_enctypes = des-cbc-crc:normal des:v4

    }

 

创建Kerberos的本地数据库

[root@localhost sbin]# ./kdb5_util create -r EXAMPLE.COM -s

Loading random data

Initializing database '/usr/local/krb5-1.14/var/krb5kdc/principal' for realm 'EXAMPLE.COM',

master key name 'K/M@EXAMPLE.COM'

You will be prompted for the database Master Password.

It is important that you NOT FORGET this password.

Enter KDC database master key: 

Re-enter KDC database master key to verify: 

 

登录查看kerberos缺省票据

[root@localhost sbin]# ./kadmin.local 

Authenticating as principal admin/admin@EXAMPLE.COM with password.

kadmin.local:  listprincs

K/M@EXAMPLE.COM

kadmin/admin@EXAMPLE.COM

kadmin/changepw@EXAMPLE.COM

kadmin/localhost@EXAMPLE.COM

kiprop/localhost@EXAMPLE.COM

krbtgt/EXAMPLE.COM@EXAMPLE.COM

kadmin.local:  q

 

启动kdc服务

[root@localhost sbin]# ./krb5kdc 

 

5、kadmind配置

5.1本地kadmin.local管理程序提供功能

a、策略管理

策略的增加、删除、修改、查询和统计功能; 

add_policy, addpol       Add policy 

modify_policy, modpol    Modify policy 

delete_policy, delpol    Delete policy 

get_policy, getpol       Get policy 

list_policies, listpols, get_policies, getpols  List policies

b、个人账号管理

Principal的增加、删除、修改、查询和统计功能; 

add_principal, addprinc, ank       |Add principal 

delete_principal, delprinc         |Delete principal 

modify_principal, modprinc         |Modify principal 

change_password, cpw             |Change password 

get_principal, getprinc           |Get principal 

list_principals, listprincs, get_principals, getprincs     |List principals 

get_privs, getprivs              |Get privileges 

c、程序注册kt管理 

Keytable的增加、删除; 

ktadd, xst               Add entry(s) to a keytab 

ktremove, ktrem          Remove entry(s) from a keytab  

d、锁管理 

lock                     Lock database exclusively (use with extreme caution!) unlock                   Release exclusive database lock 

e、程序功能 

程序命令帮助和退出程序。 

list_requests, lr, ?     List available requests. quit, exit, q            Exit program.

 

5.2使用kadmin.local管理程序配置

a、增加管理员账号

[root@localhost sbin]# ./kadmin.local 

kadmin.local:  addprinc admin/admin

WARNING: no policy specified for admin/admin@EXAMPLE.COM; defaulting to no policy

Enter password for principal "admin/admin@EXAMPLE.COM": admin

Re-enter password for principal "admin/admin@EXAMPLE.COM": admin

Principal "admin/admin@EXAMPLE.COM" created.

kadmin.local:  listprincs

K/M@EXAMPLE.COM

admin/admin@EXAMPLE.COM

kadmin/admin@EXAMPLE.COM

kadmin/changepw@EXAMPLE.COM

kadmin/localhost@EXAMPLE.COM

kiprop/localhost@EXAMPLE.COM

krbtgt/EXAMPLE.COM@EXAMPLE.COM

kadmin.local:  

b、测试管理员账号

 

[root@localhost bin]# ./kinit admin/admin

Password for admin/admin@EXAMPLE.COM: admin

[root@localhost bin]# ./klist

Ticket cache: FILE:/tmp/krb5cc_0

Default principal: admin/admin@EXAMPLE.COM

 

Valid starting       Expires              Service principal

2016-01-12T14:34:33  2016-01-13T00:34:33  krbtgt/EXAMPLE.COM@EXAMPLE.COM

    renew until 2016-01-19T14:34:33

 

c、为管理员admin/admin指定权限

 

注:按网上和官方说明kdc.conf中配置 acl_file = /krb5-1.14/var/krb5kdc/kadm5.acl的文件

暂时不知道该文件在哪个步骤生成的

在我以上操作中并没有生成 kadm5.acl文件,于是手动创建,并添加权限

 

 

现在为管理账号指定权限,它由文件/usr/local/var/krb5kdc/kadm5.acl中的条目决定。

给账号admin /admin授予“管理所有委托人”的权限,

通过添加下面这样一行到/usr/local/var/krb5kdc/kadm5.acl中,并使用通配符实现:

admin/admin@EXAMPLE.COM  *

 

 

5.3远程的kadmin管理程序配置

 

a、创建一个包含秘钥的keytab文件

 

kadmin.local:  ktadd -k /usr/local/krb5-1.14/var/krb5kdc/kadm5.keytab kadmin/changepw

Entry for principal kadmin/changepw with kvno 2, encryption type des-cbc-crc added to keytab WRFILE:/usr/local/krb5-1.14/var/krb5kdc/kadm5.keytab.

 

b、启动kadmind服务

[root@localhost sbin]# pwd

/usr/local/krb5-1.14/sbin

[root@localhost sbin]# ./kadmind 

[root@localhost sbin]# ps -ef | grep kadmind

root     17176     1  0 15:24 ?        00:00:00 ./kadmind

 

 

+

+

=

=

=-

-

分享到:
评论

相关推荐

    LINUX下的kerberos的安装配置

    通过上述步骤,我们成功地在Red Hat 8.0环境中安装和配置了Kerberos服务,并用Kerberos提供的服务替换了传统的telnetd、rlogind和rshd服务。这不仅提高了网络服务的安全性,也使得密码不再以明文形式在网络中传输,...

    Hadoop部署和配置Kerberos安全认证

    ### Hadoop部署和配置Kerberos安全认证 #### 一、Kerberos认证系统简介 Kerberos是一种网络认证协议,其设计目标是通过密钥分发中心(Key Distribution Center, KDC)来管理用户和服务之间的认证过程。Kerberos在...

    hadoop_kerberos 配置权限验证.pdf

    在本文中,我们将深入探讨如何配置Hadoop与Kerberos进行权限验证,这对于在企业环境中确保数据安全至关重要。首先,我们需要了解的是Hadoop是分布式计算框架,而Kerberos是一种强大的身份验证服务,用于在网络中提供...

    centos7 pyhive连接hive(基于kerberos安全验证)

    conn = hive.Connection(host='10.123.185.31', port=10000, kerberos_service_name='hive', auth='KERBEROS', database='yang').cursor() conn.execute('SELECT * FROM tb_user_jifen_m LIMIT 3', async=True) for ...

    centos7 pyhive连接hive(基于kerberos).docx

    本文将详细介绍如何在 CentOS 7 上安装必要的软件包,并配置基于 Kerberos 的 PyHive 连接 Hive。 #### 1. 安装所需软件包 为了使 PyHive 能够顺利地与 Hive 通信,并支持 Kerberos 认证,我们需要安装一系列的...

    大数据平台-kerberos安装部署文档.pdf

    本文档介绍了大数据平台-Kerberos的安装部署过程,包括环境准备、Kerberos安装配置、主KDC服务器配置等步骤。 一、环境准备 1. 操作系统:CentOS release 6.5 (Final)版本 2. 集群中各机器已做时钟同步 3. 创建...

    Hadoop2.0+Kerberos配置

    9. 服务启动和配置验证:安装配置完成后,需要重启相关服务以使配置生效,例如重启KDC服务。之后需要进行测试以确保Kerberos配置正确,可以正常地进行服务认证。 通过上述配置,Hadoop集群内的通信在安全性上得到了...

    centos7离线安装http服务器的rpm包

    centos7离线安装http服务器的rpm包

    ElasticSearch7.2.1+SearchGuard+Kibana+KerBeros集群测试环境部署文档.pdf

    在所有节点上安装Kerberos服务器软件,如CentOS的`krb5-server`和`krb5-workstation`。 2. **创建Kerberos域** 配置Kerberos主配置文件(`/etc/krb5.conf`),并设置Kerberos域。 3. **创建Kerberos服务主体** 为...

    Kerberos主从配置.doc

    在大型分布式环境中,为了高可用性和故障转移,通常会配置Kerberos主从架构。本文将详细介绍如何在CentOS 6.7/RedHat 6.7环境下进行Kerberos主从同步配置。 **1. Kerberos主从同步机制** 在Kerberos主从架构中,有...

    大数据平台-kerberos安装部署文档.doc

    2. **安装配置Kerberos** - **安装RPM包**:下载并安装必要的Kerberos RPM包,包括krb5-libs、krb5-server(客户端可选)和krb5-workstation,然后使用`rpm -ivh`命令进行安装,并通过`rpm –qa krb5*`检查安装状态...

    kerberos Hadoop 安装教程

    - **KDC配置文件** (`/var/kerberos/krb5kdc/kdc.conf` 和 `/var/kerberos/krb5kdc/kadm5.acl`),这里需要根据实际情况进行设置。 - **复制配置文件**:将KDC服务器上的 `/etc/krb5.conf` 文件复制到集群中的其他...

    CentOS上搭建Hadoop2.5.2_CentOS搭建hadoop_云计算_源码

    在搭建Hadoop 2.5.2环境的过程中,选择CentOS作为操作系统是一个常见的选择,因为其稳定性和与开源软件的良好兼容性。以下是基于CentOS 7.0搭建Hadoop 2.5.2的详细步骤,以及涉及的相关知识点: 1. **系统准备**: ...

    大数据平台kerberos安装部署文档.docx

    在进行Kerberos安装部署前,确保操作系统为CentOS release 6.5 (Final)。所有节点间的时钟必须同步,以保证认证过程的准确性。 **创建操作用户:** 为了支持Hadoop服务,需要创建特定用户,例如hdfs、yarn、mapred...

    Kerberos之离线安装/centos7

    kerberos

    kerberos安装包

    安装kerberos5时需要的rpm包,版本1.15.1-37.el7_6.x86_64。里面4个文件:krb5-libs-1.15.1-37.el7_6.x86_64.rpm;krb5-server-1.15.1-37.el7_6.x86_64.rpm;krb5-workstation-1.15.1-37.el7_6.x86_64.rpm;libkadm5...

    CDH5.15启用kerberos+Sentry手册_v1.0.docx

    特别提醒,对于Kafka-manager这样的组件,也需要进行Kerberos连接的配置,以便在Kerberos环境中安全地管理和监控Kafka集群。 总结,启用CDH5.15的Kerberos和Sentry是确保大数据环境安全的关键步骤。Kerberos提供了...

Global site tag (gtag.js) - Google Analytics