快速搭建kerberos服务端及入门使用

最新推荐文章于 2025-03-10 15:45:07 发布

原创

最新推荐文章于 2025-03-10 15:45:07 发布 · 6.1k 阅读

15 ·

CC 4.0 BY-SA版权

快速搭建Kerberos服务端及入门使用

Kerberos是一种网络身份验证协议。它旨在通过使用秘密密钥加密为客户端/服务器应用程序提供强身份验证。麻省理工学院可以免费实施该协议。Kerberos也可用于许多商业产品。　

　　尽管有许多配置参数和设置，但配置一个受Kerberos管理的Hadoop集群还是相当简单的。只要清楚地了解在前面部分中介绍的Kerberos概念，就可以自信地使用Kerberos来保护集群。

　　总之，Kerberos是解决您的网络安全问题的解决方案。它通过网络提供身份验证和强大加密工具，帮助您保护整个企业的信息系统。kerberos的官方地址：http://web.mit.edu/kerberos/。

一.搭建Kerberos服务器（node101.yinzhengjie.org.cn）

　　要配置Kerberos身份进行验证，就必须先安装和配置Kerberos。此配置需要在使用Kerberos调整Hadoop集群配置前完成。
　　首先安装Kerberos软件，这意味着在一个集群节点上安装KDC。然后，在所有集群节点上安装Kerberos客户端。
　　配置Kerberos意味着配置KDC管理的各个方面，ticket的生命周期等。在此过程中，可以创建域，用户和服务主体，并开始为Kerberos身份验证调整集群配置。

一.网络安全框架协议Kerberos简介

1>.什么是Kerberos

　　Kerberos是一个网络认证的框架协议，它的命名灵感来自于希腊神话中一只三头犬守护兽，寓意其拥有强大的保护能力。Kerberos协议通过强大密钥系统为Server（服务端）和Client（客户端）应用程序之间提供强大的通信加密和认证服务。在使用Kerberos协议认证的集群中，Client不会直接和他的Server服务进行通信认证，而是通过KDC（key Distribution Center）这样一个独立的服务来完成互相之间的认证。同时Kerberos 还能将服务之间的全部通信进行加密以保证其隐私于完整性。

　　Kerberos由麻省理工学院创建，作为解决这些网络安全问题的解决方案。Kerberos协议使用强加密技术，以便客户端可以通过不安全的网络连接向服务器（反之亦然）证明其身份。在客户端和服务器使用Kerberos证明其身份后，他们还可以加密所有通信，以确保在业务开展时的隐私和数据完整性。详情请参考：https://web.mit.edu/kerberos/。

2>.Kerberos核心概念

　　Kerberos协议中有一些重要的概念，了解这些概念有助于我们理解Kerberos的认证过程。

　　2.1>.KDC（Key Distribution Centor）：

　　　　　　KDC用于验证各个模块，是统一认证服务。

　　2.2>.Kerberos KDC Server：

　　　　　　KDC所在的服务器。

　　2.3>.Kerberos Client

　　　　　　任何一个需要通过KDC认证的机器（或模块）。

　　2.4>.Principal

　　　　　　用于验证一个用户或者一个Service的唯一标识，相当于一个账号，需要为其设置密码。

　　2.5>.Keytab

　　　　　　包含一个或多个Principal以及其密码的文件，可用于用户登录。

　　2.6>.Relam

　　　　　　由KDC以及多个Kerberos Client组成的网络。

　　2.7>.KDC Admin Account

　　　　　　KDC中拥有管理权限的用户（例如添加，修改，删除Principal）。

　　2.8>.Authentication Sever（AS）

　　　　　　用于初始化认证，并生成Ticket Granting Ticket（TGT）。

　　2.9>.Ticket Granting Server（TGS）

　　　　　　在TGT的基础上生成Service Ticket。一般情况下AS和TGS都在KDC的Server上。

3>.Kerberos的认证流程

　　Kerberos协议主要由Key分发中心（即KDC，全称“Key Distribution Centor”），服务提供者（Server）和用户（User）三部分组成，它的认证过程如下图所示：

　　　　第 1 步：

　　　　　　client（一个User或者一个Service）会用Pricipal到Authentication Sever（AS）去认证，希望获取访问server的权限。

　　　　第 2 步：

　　　　　　kerberos得到了这个消息，首先得判断client是否是可信赖的，也就是白名单黑名单的说法。这就是AS服务完成的工作，通过在AD中存储黑名单和白名单来区分client。成功后，返回AS返回TGT给client。

　　　　第 3 步：

　　　　　　这是只有AS和这个Principal的使用者可以识别该TGT。在拿到加密的TGT之后，client（User或者Service）会使用Principal的Key来解密TGT。并使用解密后的TGT继续向kerberos请求，希望获取访问server的权限。

　　　　第 4 步：

　　　　　　kerberos又一次得到了这个消息，这时候通过client（User或者Service）消息中的TGT（注意：此时的TGT是第三步中解密后的TGT，并不是第二步的TGT哟！），判断出了client拥有了这个权限，给了client访问server的权限Server Ticket。

　　　　第 5～6 步：

　　　　　　client得到希望访问的Server Ticket后，终于可以成功访问该Server。需要注意的是，得到的这个Server Ticket只是针对这台Server，其他server需要继续向TGS申请（因为每台服务器都有自己的Server Ticket哟！）。在Kerberos认证的集群中，只有拿着这个Service Ticket才可以访问真正的Server从而实现自己的业务逻辑。

4>.Kerberos的优点

　　分析整个Kerberos的认证过程之后，我们来总结一下Kerberos都有哪些优点：

　　4.1>.较高的Performance

　　　　　　虽然我们一再地说Kerberos是一个涉及到3方的认证过程：Client、Server、KDC。但是一旦Client获得用过访问某个Server的Ticket，该Server就能根据这个Ticket实现对Client的验证，而无须KDC的再次参与。和传统的基于Windows NT 4.0的每个完全依赖Trusted Third Party的NTLM比较，具有较大的性能提升。

　　4.2>.实现了双向验证（Mutual Authentication）

　　　　　　传统的NTLM认证基于这样一个前提：Client访问的远程的Service是可信的、无需对于进行验证，所以NTLM不曾提供双向验证的功能。这显然有点理想主义，为此Kerberos弥补了这个不足：Client在访问Server的资源之前，可以要求对Server的身份执行认证。

　　4.3>.对Delegation的支持

　　　　　　Impersonation和Delegation是一个分布式环境中两个重要的功能。Impersonation允许Server在本地使用Logon 的Account执行某些操作，Delegation需用Server将logon的Account带入到另过一个Context执行相应的操作。NTLM仅对Impersonation提供支持，而Kerberos通过一种双向的、可传递的（Mutual 、Transitive）信任模式实现了对Delegation的支持。

　　4.4>.互操作性（Interoperability）

　　　　Kerberos最初由MIT首创，现在已经成为一行被广泛接受的标准。所以对于不同的平台可以进行广泛的互操作。

二.使用FreeIPA安装Kerberos和LDAP

　　Kerberos协议只是一种协议标准的框架，而MIT Kerberos则是实现了该协议的认证服务，是Kerberos协议的物理载体。将它于Hadoop服务进行集成便能够很好地解决安全性不足的问题。除了需要安装MIT Kerberos之外，我们还需要安装LDAP。Kerberos和LDAP服务这类基础设施组件虽好，但他们手动安装起来都十分的繁琐。这种手动安装的方式既低效又不利于管理。因此我们可以通过FreeIPA来安装这些基础组件。

　　FreeIPA是一个集成的安装信息管理解决方案。它整合了LDAP，Kerberos，NTP，Bind，Apache和Tomcat等核心软件包，从而形成来一个以LDAP为数据存储后端，Kerberos为验证前端，Bind为主机识别，同时还提供统一的命令行管理工具和WEB管理界面的集成信息管理系统。FreeIPA建立在著名的开源组件和标准协议之上，具有易于管理，安装和配置任务自动化的特点。FreeIPA是平台基础设施的一记强力组合拳，它就像大数据版本的XAMPP一样，为我们在基础设施安装于管理上带来了巨大的便利。FreeIPA它不仅继承了LDAP和Kerberos这两个非常重要的组件，并且在这些服务之上还创建了一个CLI接口。通过这层接口我们能够轻松地完成一系列动作，例如对Kerberos用户的管理工作。值得注意的是，当我们通过FreeIPA创建一个Kerberos用户的同时，他还会自动创建一个相同的LADP用户和Linux服务器用户，这意味着什么呢？这意味着从逻辑上来看，我们创建了一个Kerberos用户，而从物理上其实FreeIPA帮我们创建了三个用户，并且它能够保证这三个用户事物的一致性。这是一项非常重要且了不起的特性，它在某种程度上帮我们实现了用户的统一。

　　FreeIPA服务分为IPA-Server和IPA-Client两个部分，IPA-Server包含了所有集成的组件以及Web UI管理控制台，可以说它是控制于验证的中心服务。我们需要单独准备一台服务器来安装IPA-Server程序，这台服务器不能属于任何由Ambari管理的集群节点（本篇博客我使用的节点“node100.yinzhengjie.com”来部署）。这是因为安装IPA-Server的程序中，安装程序会将其所在的服务器地址注册到DNS服务中，而Ambari的集群节点也会进行相同的注册动作。如果一台服务器同时安装来IPA-Server并注册成为Ambari节点，就会造成名称的冲突，导致在注册DNS的过程中失败。IP-Server并注册成为Ambari节点，就会造成名称的冲突，导致在注册DNS的过程中失败。IPA-Client于IPA-Server则恰恰相反，Ambari管理的所有集群节点服务器上都必须安装IPA-Client。

　　XAMPP是完全免费且易于安装的Apache发行版，其中包含MariaDB、PHP和Perl。XAMPP开放源码包的设置让安装和使用出奇容易。是开源基础组件的一记强力组合拳。官网地址：https://www.apachefriends.org/zh_cn/index.html

　　温馨提示：在部署前建议直接关闭到selinux和firewalld服务，FreeIPA文档参考链接为：https://www.globo.tech/learning-center/install-freeipa-centos-7/。

1>.扩充密钥长度

　　Kerberos需要使用256为的AES加密算法，而JRE默认中的密钥长度比较短，并且不足以支撑。所以我们需要升级集群中所有服务器节点JRE的安全策略，使其能够解除密钥长度的限制。修改的方式是下载并替换JRE中的Unlimited JCEPolicy文件。以JDK1.8为例，下载地址为：ht