Kerberos 部署与使用

最新推荐文章于 2025-03-10 15:45:07 发布
最新推荐文章于 2025-03-10 15:45:07 发布
阅读量3.7k 收藏 15
点赞数 1
分类专栏: 大数据 文章标签: big data java 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hyunbar/article/details/122650341
版权

图片

大数据技术AI

Flink/Spark/Hadoop/数仓,数据分析、面试,源码解读等干货学习资料

105篇原创内容

公众号

1、Kerberos部署

1.1 Kerberos概述

1.1.1 什么是Kerberos

Kerberos是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。

这个词又指麻省理工学院为这个协议开发的一套计算机软件。

软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。

可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。

1.1.2 Kerberos术语

Kerberos中有以下一些概念需要了解:

  • KDC(Key Distribute Center):密钥分发中心,负责存储用户信息,管理发放票据。

  • Realm:Kerberos所管理的一个领域或范围,称之为一个Realm。

  • Rrincipal:Kerberos所管理的一个用户或者一个服务,可以理解为Kerberos中保存的一个账号,其格式通常如下:primary/instance@realm

  • keytab:Kerberos中的用户认证,可通过密码或者密钥文件证明身份,keytab指密钥文件。

  • Principal:Kerberos principal(又称为主体)用于在kerberos加密系统中标记一个唯一的身份。主体可以是用户(如joe)或服务(如namenodehive)。

  • 根据约定,主体名称分为三个部分:主名称、实例和领域。例如,典型的Kerberos主体可以是joe/admin@EXAMPLE.COM。在本实例中:

  • joe是主名称。主名称可以是此处所示的用户名或namenode等服务。

  • admin是实例。对于用户主体,实例是可选的;但对于服务主体,实例则是必需的。例如,如果用户 joe 有时充当系统管理员,则他可以使用 joe/admin 将其自身与平时的用户身份区分开来。同样,如果 joe 在两台不同的主机上拥有帐户,则他可以使用两个具有不同实例的主体名称,例如 joe/node1.example.comjoe/node2.example.com。请注意,Kerberos 服务会将 joejoe/admin 视为两个完全不同的主体。 对于服务主体,实例是全限定主机名。例如,node1.example.com就是这种实例。

  • EXAMPLE.COM是Kerberos领域。

1.1.3 Kerberos认证原理

图片

1.2 Kerberos安装

1.2.1 安装Kerberos相关服务

选择集群中的一台主机(hadoop01)作为Kerberos服务端,安装KDC,所有主机都需要部署Kerberos客户端。

服务端主机执行以下安装命令

[root@hadoop01 ~]# yum install -y krb5-server

客户端主机执行以下安装命令

 [root@hadoop01 ~]# yum install -y krb5-workstation krb5-libs
 [root@hadoop02 ~]# yum install -y krb5-workstation krb5-libs
 [root@hadoop03 ~]# yum install -y krb5-workstation krb5-libs

1.2.2 修改配置文件

  • 服务端主机(hadoop01)

修改/var/kerberos/krb5kdc/kdc.conf文件,内容如下

 [root@hadoop01 ~]# vim /var/kerberos/krb5kdc/kdc.conf

修改如下内容

 [root@hadoop01 ~]# vim /var/kerberos/krb5kdc/kdc.conf
 修改如下内容
 
 [kdcdefaults]
  kdc_ports = 88
  kdc_tcp_ports = 88
 
 [realms]
  EXAMPLE.COM = {
   #master_key_type = aes256-cts
   acl_file = /var/kerberos/krb5kdc/kadm5.acl
   dict_file = /usr/share/dict/words
   admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
   supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
  }

图片

  • 客户端主机(所有主机)

修改/etc/krb5.conf文件

 [root@hadoop01 ~]# vim /etc/krb5.conf
 [root@hadoop02 ~]# vim /etc/krb5.conf
 [root@hadoop03 ~]# vim /etc/krb5.conf

内容如下

 # Configuration snippets may be placed in this directory as well
 includedir /etc/krb5.conf.d/
 
 [logging]
  default = FILE:/var/log/krb5libs.log
  kdc = FILE:/var/log/krb5kdc.log
  admin_server = FILE:/var/log/kadmind.log
 
 [libdefaults]
  dns_lookup_realm = false
  dns_lookup_kdc = false
  ticket_lifetime = 24h
  renew_lifetime = 7d
  forwardable = true
  rdns = false
  pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
  default_realm = EXAMPLE.COM
  #default_ccache_name = KEYRING:persistent:%{uid}
 
 [realms]
  EXAMPLE.COM = {
   kdc = hadoop01
   admin_server = hadoop01
  }
 [domain_realm]
 # .example.com = EXAMPLE.COM
 # example.com = EXAMPLE.COM

图片

1.2.3 初始化KDC数据库

在服务端主机(hadoop01)执行以下命令,并根据提示输入密码。

 [root@hadoop01 ~]# kdb5_util create -s

图片

1.2.4 修改管理员权限配置文件

在服务端主机(hadoop01)修改/var/kerberos/krb5kdc/kadm5.acl文件,内容如下

 */admin@EXAMPLE.COM

图片

1.2.5 启动Kerberos相关服务

在主节点(hadoop01)启动KDC,并配置开机自启

 [root@hadoop01 ~]# systemctl start krb5kdc
 [root@hadoop01 ~]# systemctl enable krb5kdc

在主节点(hadoop01)启动Kadmin,该服务为KDC数据库访问入口

 [root@hadoop01 ~]# systemctl start kadmin
 [root@hadoop01 ~]# systemctl enable kadmin

1.2.6 创建Kerberos管理员用户

在KDC所在主机(hadoop01),执行以下命令,并按照提示输入密码

 [root@hadoop01 ~]# kadmin.local -q "addprinc admin/admin"

图片

1.3 Kerberos使用概述

1.3.1 Kerberos数据库操作

  • 登录数据库

1)本地登录(无需认证)

 [root@hadoop01 ~]# kadmin.local 
 Authenticating as principal root/admin@EXAMPLE.COM with password.
 kadmin.local:

2)远程登录(需进行主体认证,认证操作见下文)

 [root@hadoop01 ~]# kadmin
 Authenticating as principal admin/admin@EXAMPLE.COM with password.
 Password for admin/admin@EXAMPLE.COM: 
 kadmin:

退出输入:exit

  • 创建Kerberos主体

登录数据库,输入以下命令,并按照提示输入密码

 kadmin.local: addprinc test

图片

也可通过以下shell命令直接创建主体

 [root@hadoop01 ~]# kadmin.local -q "addprinc test"
  • 修改主体密码
 kadmin.local :cpw test
  • 查看所有主体
 kadmin.local: list_principals
 K/M@EXAMPLE.COM
 admin/admin@EXAMPLE.COM
 kadmin/admin@EXAMPLE.COM
 kadmin/changepw@EXAMPLE.COM
 kadmin/hadoop105@EXAMPLE.COM
 kiprop/hadoop105@EXAMPLE.COM
 krbtgt/EXAMPLE.COM@EXAMPLE.COM
  • 删除
 delprinc test

1.3.2 Kerberos认证操作

  • 密码认证

1)使用kinit进行主体认证,并按照提示输入密码

 [root@hadoop01 ~]# kinit test
 Password for test@EXAMPLE.COM:

2)查看认证凭证

 [root@hadoop01 ~]# klist 
 Ticket cache: FILE:/tmp/krb5cc_0
 Default principal: test@EXAMPLE.COM
 
 Valid starting       Expires              Service principal
 10/27/2019 18:23:57  10/28/2019 18:23:57  krbtgt/EXAMPLE.COM@EXAMPLE.COM
 renew until 11/03/2019 18:23:57

图片

  • 密钥文件认证

1)生成主体test的keytab文件到指定目录/root/test.keytab

 [root@hadoop01 ~]# kadmin.local -q "xst -norandkey -k  /root/test.keytab test@EXAMPLE.COM"

注:-norandkey的作用是声明不随机生成密码,若不加该参数,会导致之前的密码失效。

图片

2)使用keytab进行认证

 [root@hadoop01 ~]# kinit -kt /root/test.keytab test

3)查看认证凭证

 [root@hadoop01 ~]# klist 
 Ticket cache: FILE:/tmp/krb5cc_0
 Default principal: test@EXAMPLE.COM
 
 Valid starting     Expires            Service principal
 08/27/19 15:41:28  08/28/19 15:41:28  krbtgt/EXAMPLE.COM@EXAMPLE.COM
         renew until 08/27/19 15:41:28
  • 销毁凭证
 [root@hadoop01 ~]# kdestroy
 [root@hadoop01 ~]# klist   
 klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)

图片

kerberos部署
weixin_41350766的博客
09-20 447
1.安装krb yum -y install krb5-server krb5-libs krb5-auth-dialog krb5-workstation 2.配置krb5.conf vi /etc/krb5.conf ----------------------------------------------------------------------------------------仅...
CDH6安装kerberos(二)kerberos部署
独孤飞磊
11-30 1007
Kerberos部署 1.系统环境 1)操作系统:CentOS 7.6 2)CDH6.3.2 3)采用root用户进行操作 4)机器列表:(hadoop1.example.com,hadoop2.example.com,hadoop3.example.com) 2.KDC服务安装及配置 选择集群中的一台主机(hadoop1.example.com)作为Kerberos服务端,安装KDC,所有主机都需要部署Kerberos客户端。 1)在服务端主机执行以下安装命令(服务端主机就是KDC) yum instal
Kerberos 部署
记录点点滴滴
04-11 877
安装 Kerberos 切换到 root 主节点 从节点 修改配置文件 服务端主机 ( cpu102 ) 客户端主机 初始化 KDC 数据库 修改管理员权限配置文件 启动Kerberos相关服务 创建 Kerberos 管理员用户 使用入门 Kerberos 数据库操作 登录数据库 创建Kerberos主体 Kerberos 认证操作 密码认证 密钥文件认证 销毁凭证
kerberos集群安装部署【详细】
最新发布
mandiandengwo的博客
03-10 1152
kerberos的基本原理不做过多介绍了,可自行查阅;本文主要介绍kerberos的安装及使用;使用到的软件版本:系统:Red Hat Enterprise Linux release 8.6 (Ootpa) 、krb5-server:1.18.2。Kerberos Client 根据需要进行安装,安装后可以使用 kadmin 命令;对应在 Kerberos Server 上使用 kadmin.local 命令。Kerberos 服务机器上可以使用 kadmin.local 来执行各种管理的操作。
kerberos 部署
heqingcool的博客
06-07 599
kerberos部署 选择worker1节点作为kerberos服务端 #安装kerberos软件 yum -y install krb5-server krb5-libs krb5-auth-dialog krb5-workstation #安装sasl工具,impala启用kerberos时需要sasl工具 yum -y install cyrus-sasl-plain cyrus-sasl-devel cyrus-sasl-gssapi cyrus-sasl-md5 修改/etc/krb5.conf
Hadoop部署和配置Kerberos安全认证
05-17
Hadoop部署和配置Kerberos安全认证全套流程。已经过实测并部署生产环境。
大数据权限认证 Kerberos 部署
u011047968的专栏
03-01 2218
Kerberos是一种网络身份验证协议,旨在支持使用密钥加密的客户端/服务器应用程序的强大身份验证。Kerberos 为网络资源提供最高级别的安全性。Kerberos 应用客户端/服务器体系结构并支持用户到服务器的身份验证,而不是主机到主机的身份验证。在此模型中,安全性和身份验证将取决于密钥技术,其中网络上的每个主机都有自己的密钥。
Kerberos部署.docx
05-02
Kerberos部署详解》 Kerberos协议是网络身份验证的一种强大工具,尤其在多服务环境中,其Single Sign-On(SSO)功能为用户提供了一种便捷且安全的身份验证方式。用户只需一次登录,即可访问多个受保护的服务,极...
kerberos-docker:用于kerberos服务器的轻量级docker映像
05-09
kerberos-docker 基于Alpine Linux的轻量级... 要运行kerberos-docker ,请使用以下命令 docker run -d -p 749:749 -p 88:88 staticmukesh/kerberos-docker 贡献 如果您有任何建议,请随时在上提出问题或提出请求
大数据:基于Docker离线部署2.7.4版本ambari及启用kerberos安全认证(物理机同理)
03-17
1.离线部署ambari 2.7.4及HDP大数据...3.开启kerberos权限认证服务,并提供相关Demo 4.支持HDFS、Spark、Yarn、MapReduce、Hive、Pig、 HBase、Zookeeper、Sqoop和Hcatalog等 5.很详细的文档,包括各种可能出现的Bug
Kerberos (一) --------- Kerberos 部署
在森林里麋了鹿
10-31 914
Kerberos 部署流程
kerberos安装配置使用
九师兄
07-04 4486
1.Kerberos协议: Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安全性 2.1. 环境配置 2.安装 2.1...
Hadoop的kerberos的实践部署
kwame211的博客
12-06 1237
一. Hadoop的认证机制 相关hadoop安全问题参考:大数据安全Hadoop安全模型的演进 hadoop安全认证主要涉及kerberos和HTTP SPNEGO, kerberos下面有介绍, HTTP SPNEGO 和kerberos 的介绍如下:Kerberos and SPNEGO 以及 SPNEGO 另外, 下面是一些早期网络上的有关使用SPNEGO文章,可以部
kerberos集群部署
wjandy0211的博客
01-16 1268
环境: 10.70.237.117      bd-1 10.70.237.118      bd-2 10.70.237.119      bd-3 10.70.237.120      bd-4 10.70.237.121      bd-5 10.70.237.122      bd-6 bd-1               
Kerberos 的安装和使用
u011250186的博客
11-25 4174
Kerberos 的安装和使用
CDH kerberos部署
Kng_007的博客
06-15 867
Kerberos协议通过强大密钥系统为Server(服务端)和Client(客户端)应用程序之间提供强大的通信加密和认证服务。在自建CDH添加kerberos服务
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值