1.1 环境介绍
参考博客:https://www.cnblogs.com/xiaodf/p/5968178.html
https://www.douban.com/note/701660289/
https://www.freebsd.org/doc/zh\_CN/books/handbook/kerberos5.html
1、环境介绍
# 注:安装kerberos前,要确保主机名可以被解析。
主机名 内网IP 角色
linux-node1.example.com 192.168.56.11 Master KDC
linux-node1.example.com 192.168.56.12 Kerberos client
linux-node1.example.com 192.168.56.13 Kerberos client
1.2 在node1中配置安装KDC
注:确保所有的clients与servers之间的时间同步以及DNS正确解析
1、安装krb5-server和krb5-workstation(node1)
yum install krb5-server krb5-libs krb5-auth-dialog krb5-workstation -y
1) 在安装完上述的软件之后,会在KDC主机上生成配置文件/etc/krb5.conf和/var/kerberos/krb5kdc/kdc.conf
2)它们分别反映了realm name 以及 domain-to-realm mappings。
2、配置kdc.conf
vim /var/kerberos/krb5kdc/kdc.conf
注:在kdc.conf文件中一定要指定kdc的主机名(kdc = linux-node1.example.com)
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
[realms]
HADOOP.COM = {
#master_key_type = aes256-cts
acl_file = /var/kerberos/krb5kdc/kadm5.acl
dict_file = /usr/share/dict/words
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
max_renewable_life = 7d
supported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
}
kdc.conf
# 1. [realms]:HADOOP.COM,是设定的realms,名字随意,Kerberos可以支持多个realms
# 2. master_key_type: 和supported_enctypes默认使用aes256 - cts。
# 3. acl_file: 标注了admin的用户权限。文件格式是
# 4. admin_keytab:KDC进行校验的keytab,后文会提及如何创建。
# 5. supported_enctypes: 支持的校验方式,注意把aes256 - cts去掉。
kdc.conf配置注释
3、配置krb5.conf
vim /etc/krb5.conf
1)/etc/krb5.conf: 包含Kerberos的配置信息。
2)例如,KDC的位置,Kerberos的admin的realms 等,需要所有使用的Kerberos的机器上的配置文件都同步。
[logging]
default=FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = HADOOP.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
# udp_preference_limit = 1
[realms]
HADOOP.COM = {
kdc = linux-node1.example.com
admin_server = linux-node1.example.com
}
[domain_realm]
.hadoop.com = HADOOP.COM
hadoop.com = HADOOP.COM
krb5.conf
# [logging]:表示server端的日志的打印位置
# [libdefaults]:每种连接的默认配置,需要注意以下几个关键的小配置
# default_realm = HADOOP.COM 默认的realm,必须跟要配置的realm的名称一致。
# udp_preference_limit = 1 禁止使用udp可以防止一个Hadoop中的错误
# oticket_lifetime表明凭证生效的时限,一般为24小时。
# orenew_lifetime表明凭证最长可以被延期的时限,一般为一个礼拜。当凭证过期之后, 对安全认证的服务的后续访问则会失败。
# [realms]:列举使用的realm。
# kdc:代表要kdc的位置。格式是 机器:端口
# admin_server:代表admin的位置。格式是机器:端口
# default_domain:代表默认的域名
# [appdefaults]:可以设定一些针对特定应用的配置,覆盖默认配置。
krb5.conf配置注释
4、创建/初始化Kerberos database
[root``@vmw201
~]# /usr/sbin/kdb5_util create -s -r HADOOP.COM
1)其中,[-s]表示生成stash file,并在其中存储master server key(krb5kdc);
2)还可以用[-r]来指定一个realm name —— 当krb5.conf中定义了多个realm时才是必要的。
3)保存路径为/var/kerberos/krb5kdc 如果需要重建数据库,将该目录下的principal相关的文件删除即可
4)在此过程中,我们会输入database的管理密码,这里设置的密码一定要记住,如果忘记了,就无法管理Kerberos server。
5、当Kerberos database创建好后,可以看到目录 /var/kerberos/krb5kdc 下生成了几个文件
[root@linux-node1 ~]# ll /var/kerberos/krb5kdc
total 28
-rw------- 1 root root 22 Jan 29 11:59 kadm5.acl
-rw------- 1 root root 432 Mar 26 02:51 kdc.conf
-rw------- 1 root root 451 Mar 26 02:50 kdc.conf.bak
-rw------- 1 root root 8192 Mar 26 03:06 principal
-rw------- 1 root root 8192 Mar 26 03:06 principal.kadm5
-rw------- 1 root root 0 Mar 26 03:06 principal.kadm5.lock
-rw------- 1 root root 0 Mar 26 03:06 principal.ok
kerberos生成的几个文件
6、添加database administrator来管理 kerberos
1)关于 kerberos 的管理,可以使用 kadmin.local 或 kadmin,至于使用哪个,取决于账户和访问权限
如果有访问 kdc 服务器的 root 权限,但是没有 kerberos admin 账户,使用 kadmin.local
如果没有访问 kdc 服务器的 root 权限,但是用 kerberos admin 账户,使用 kadmin
[root@linux-node1 krb5kdc]# /usr/sbin/kadmin.local -q "addprinc admin/admin"
Authenticating as principal root/admin@HADOOP.COM with password.
WARNING: no policy specified for admin/admin@HADOOP.COM; defaulting to no policy
Enter password for principal "admin/admin@HADOOP.COM":
Re-enter password for principal "admin/admin@HADOOP.COM":
Principal "admin/admin@HADOOP.COM" created.
创建database administator
7、为database administrator设置ACL权限
1)在KDC上我们需要编辑acl文件来设置权限,该acl文件的默认路径是 /var/kerberos/krb5kdc/kadm5.acl(也可以在文件kdc.conf中修改)。
2)Kerberos的kadmind daemon会使用该文件来管理对Kerberos database的访问权限。
3)对于那些可能会对pincipal产生影响的操作,acl文件也能控制哪些principal能操作哪些其他pricipals。
vim /var/kerberos/krb5kdc/kadm5.acl
*/admin@HADOOP.COM *
# 代表名称匹配*/admin@HADOOP.COM 都认为是admin,权限是 * 代表全部权限。
kadm5.acl
8、在master KDC启动Kerberos daemons
# 1、手动启动:
[root@vmw201 /]# service krb5kdc start
[root@vmw201 /]# service kadmin start
# 2、设置开机自动启动:
[root@vmw201 /]# chkconfig krb5kdc on
[root@vmw201 /]# chkconfig kadmin on
现在KDC已经在工作了,这两个daemons将会在后台运行,可以查看它们的日志文件(/var/log/krb5kdc.log 和 /var/log/kadmind.log)。
可以通过命令kinit来检查这两个daemons是否正常工作。
1.3 安装kerberos客户端
1、Installing Kerberos Client(CentOS7可以省略此步骤)
yum install krb5-workstation krb5-libs krb5-auth-dialog # centos7中默认有krb5.conf文件
2、配置krb5.conf
注:配置这些主机上的/etc/krb5.conf,这个文件的内容与KDC中的文件保持一致即可。
[logging]
default=FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = HADOOP.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
# udp_preference_limit = 1
[realms]
HADOOP.COM = {
kdc = linux-node1.example.com
admin_server = linux-node1.example.com
}
[domain_realm]
.hadoop.com = HADOOP.COM
hadoop.com = HADOOP.COM
krb5.conf
1.4 kerberos使用测试
1、创建Kerberos Admin(管理员账号)
[root@linux-node1 krb5kdc]# /usr/sbin/kadmin.local -q "addprinc admin/admin"
Authenticating as principal root/admin@HADOOP.COM with password.
WARNING: no policy specified for admin/admin@HADOOP.COM; defaulting to no policy
Enter password for principal "admin/admin@HADOOP.COM":
Re-enter password for principal "admin/admin@HADOOP.COM":
Principal "admin/admin@HADOOP.COM" created.
2、新增主体(KDR)
注:可以把主体简单理解为用户,只是它的id构成有自己的规则。(我的主体是admin@HADOOP.COM)
# 法1:以交互方式增加主体:
[root@linux-node1 ~]# kadmin.local
kadmin.local: addprinc webb
# 法2:或者以单行命令的方式增加主体:
$ kadmin.local -q "addprinc webb@HADOOP.COM" (增加主体webb)
$ kadmin.local -q "cpw -pw chnsys@2016 webb@HADOOP.COM" (将webb的密码设置为chnsys@2016)
3、生成keytab(KDR)****
注:为主体webb@AMBARI.APACHE.ORG生成keytab文件,文件名是webb.keytab(当前目录下生成)
[root@linux-node1 ~]# kadmin.local
kadmin.local: ktadd -norandkey -k webb.keytab webb@HADOOP.COM
'''
上面的-norandkey参数使得keytab的生成不改变该主体的密码。
否则,生成keytab后,需要重新设定密码,而重新设定密码后,之前生成的keytab又失效了。
另一种生成keytab的方式是使用ktutil命令(参考文档Kerberos使用(client) https://imaidata.github.io/blog/kerberos_client/ )。
'''
# 使用keytab文件登录(而不是密码):
[root@linux-node1 ~]# cd /root/ # 切入到webb.keytab存放文件夹
[root@linux-node1 ~]# kinit -k -t webb.keytab webb # 使用keytab文件登录
4、将上一步生成.keytab文件,scp至target_server的/etc/krb5.keytab
注: krb5 client默认使用的密钥表文件为/etc/krb5.keytab,可以通过配置文件/etc/krb5.conf中 [libdefaults] 的 default_keytab_name配置项修改
scp -r /root/webb.keytab root@192.168.56.12:/etc/krb5.keytab
1.5 kerberos常用命令
1、基础常用命令
kinit admin/admin@EXAMPLE.COM # 登录
klist # 查询登录状态 klist
kdestroy # 退出 kdestroy
2、用户管理常用命令
[root@linux-node1 ~]# kadmin.local # 登录kerberos 管理后台
kadmin.local: listprincs # 查看当前所有认证用户
kadmin.local: addprinc test # 创建认证用户test
kadmin.local: delprinc test # 删除认证用户test
kadmin.local: listprincs # 确认test用户已删除
change_password admin/admin@EXAMPLE.COM # 修改用户密码
11111111111111111111122222222222222222