Linux

关注公众号 jb51net

关闭
首页 > 网站技巧 > 服务器 > Linux > linux kerberos服务安装

linux环境之kerberos服务安装方式

作者:W_StackOverFlow_W

本文记录了在Linux环境下搭建Kerberos服务的详细步骤,包括安装时间同步服务、配置Kerberos服务、编辑配置文件、创建realm、开启服务等,同时,介绍了如何创建和使用keytab文件,以及客户端的安装和使用,为需要开启Kafka Kerberos认证的用户提供了实用指南

kerberos服务安装-linux环境

由于需要调试kafka开启kerberos认证相关的环境,特此记录一下关于kerberos环境搭建的步骤。

安装时间同步服务

yum install -y ntp
systemctl enable ntpd
systemctl start ntpd

安装krb5服务

yum install -y krb5-server krb5-config

安装完成后会在/var目录下产生kerberos目录:

编辑配置文件

编辑 /var/kerberos/krb5kdc/kdc.conf配置文件

vi /var/kerberos/krb5kdc/kdc.conf
[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
#EXAMPLE.COM = {
 TEST.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
  max_renewable_life = 7d
 }

将EXAMPLE.COM修改为自己要是用的标识,我是用的是TEST.COM,在配置项的末尾增加了一项配置:max_renewable_life = 7d

编辑/var/kerberos/krb5kdc/kadm5.acl 文件

vi /var/kerberos/krb5kdc/kadm5.acl
*/admin@TEST.COM        *

说明:此项编辑的意思是 任何包含“/admin”的principal 都拥有所有权限(admin)。

编辑文件/etc/krb5.conf

vi /etc/krb5.conf

配置完成参考:

# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
# renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
# default_realm = EXAMPLE.COM
 default_realm = TEST.COM
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
TEST.COM = {
  kdc = hadoop.test.com
  admin_server = hadoop.test.com
 }

[domain_realm]
 .test.com = TEST.COM
 test.com = TEST.COM

创建realm

kdb5_util create -r TEST.COM -s

开启krb5kdc和kadmin服务,并设置开机启动

systemctl start krb5kdc.service
systemctl start kadmin.service
systemctl enable krb5kdc.service
systemctl enable kadmin.service

以上kerberos服务安装基本完成,以下测试使用下

创建keytab文件

1、使用命令kadmin.local进入krb的命令界面

2、使用命令addprinc admin/admin创建admin用户

3、使用命令ktadd -k /home/kerberos_test/admin.keytab -norandkey admin/admin生成admin.keytab文件到/home/kerberos_test/目录下(目录自行指定)。

4、exit退出命令行界面

客户端安装及使用

安装krb5-workstation

yum install -y krb5-workstation

安装完成后可以通过klist命令查看keytab的内容了:

klist -kt /home/kerberos_test/admin.keytab

注:如果使用kinit 进行初始化,需要在/etc/hosts文件中增加相关的配置

#示例,需要参考/etc/krb5.conf中realms相关的配置:
192.168.4.133 hadoop.test.com TEST.COM

加好之后就可以使用kinit命令了:

该操作主要解决以下问题:

其他可用命令参考(仅用作备份使用):

#删除用户
kadmin.local delete_principal kafka/test@TEST.COM
#带密码添加用户
kadmin.local addprinc -pw aaaaaa kafka/test@TEST.COM
#导出用户keytab文件
kadmin.local ktadd -k /etc/security/keytabs/zookeeper.keytab -norandkey zookeeper/test@TEST.COM
#初始化用户
kinit kafka/test@TEST.COM
#查看当前素有用户
kadmin.local  listprincs
#查看列表
klist
#查看krb5kdc.log日志
tail -f /var/log/krb5kdc.log
#查看kadmind.log日志
tail -f /var/log/kadmind.log

总结

以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。

您可能感兴趣的文章:
阅读全文