1.安装：通过yum安装即可，组成KDC。

yum install -y krb5-server krb5-lib krb5-workstation

2.配置：Kerberos的配置文件只有两个。在Hadoop1中创建以下两个文件,并同步/etc/krb5.conf到所有机器。

• /var/kerberos/krb5kdc/kdc.conf:包括KDC的配置信息。默认放在 /usr/local/var/krb5kdc。或者通过覆盖KRB5_KDC_PROFILE环境变量修改配置文件位置。
  配置示例：
  [kdcdefaults] kdc_ports = 88 kdc_tcp_ports = 88[realms] HADOOP.COM = {  master_key_type = aes128-cts  acl_file = /var/kerberos/krb5kdc/kadm5.acl  dict_file = /usr/share/dict/words  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab  max_renewable_life = 7d  supported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal }说明：
  HADOOP.COM:是设定的realms。名字随意。Kerberos可以支持多个realms，会增加复杂度。本文不探讨。大小写敏感，一般为了识别使用全部大写。这个realms跟机器的host没有大关系。max_renewable_life = 7d 涉及到是否能进行ticket的renwe必须配置。master_key_type:和supported_enctypes默认使用aes256-cts。由于，JAVA使用aes256-cts验证方式需要安装额外的jar包。推荐不使用。acl_file:标注了admin的用户权限，需要用户自己创建。文件格式是      Kerberos_principal permissions [target_principal]  [restrictions]    支持通配符等。最简单的写法是    */admin@HADOOP.COM      *    代表名称匹配*/admin@HADOOP.COM 都认为是admin，权限是 *。代表全部权限。admin_keytab:KDC进行校验的keytab。后文会提及如何创建。supported_enctypes:支持的校验方式。注意把aes256-cts去掉。

• /etc/krb5.conf:包含Kerberos的配置信息。例如，KDC的位置，Kerberos的admin的realms 等。需要所有使用的Kerberos的机器上的配置文件都同步。这里仅列举需要的基本配置。详细介绍参考：krb5conf
  配置示例：
  [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log[libdefaults] default_realm = HADOOP.COM dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d max_life = 12h 0m 0s forwardable = true udp_preference_limit = 1[realms] HADOOP.COM = {  kdc = hadoop1:88  admin_server = hadoop1:749  default_domain = HADOOP.COM }[appdefaults]说明：
  [logging]：表示server端的日志的打印位置[libdefaults]：每种连接的默认配置，需要注意以下几个关键的小配置   default_realm = HADOOP.COM 默认的realm，必须跟要配置的realm的名称一致。   udp_preference_limit = 1 禁止使用udp可以防止一个Hadoop中的错误[realms]:列举使用的realm。   kdc：代表要kdc的位置。格式是 机器:端口   admin_server:代表admin的位置。格式是 机器:端口   default_domain：代表默认的域名[appdefaults]:可以设定一些针对特定应用的配置，覆盖默认配置。

• 初始化并启动：完成上面两个配置文件后，就可以进行初始化并启动了。
  A.初始化数据库:在hadoop1上运行命令。其中-r指定对应realm。
  kdb5_util create -r HADOOP.COM -s如果遇到数据库已经存在的提示，可以把/var/kerberos/krb5kdc/目录下的principal的相关文件都删除掉。默认的数据库名字都是principal。可以使用-d指定数据库名字。(尚未测试多数据库的情况)。
  B.启动kerberos。如果想开机自启动，需要stash文件。
  /usr/local/sbin/krb5kdc /usr/local/sbin/kadmind至此kerberos，搭建完毕。

• 搭建Slave KDCs
  为了在生产环境中获得高可用的KDC。还需要搭建Slave KDCs。 TODO 经过各种努力还是不能成功同步，先放下。

• 测试kerberos，搭建完毕后，进行以下步骤测试Kerberos是否可用。
  A. 进入kadmin在kadmin上添加一个超级管理员账户，需要输入passwd
  kadmin.localaddprinc admin/adminB. 在其它机器尝试通过kadmin连接,需要输入密码
  kinit admin/adminkadmin 如果能成功进入，则搭建成功。