使用Docker创建Kerberos认证中心

最新推荐文章于 2025-04-23 11:38:43 发布
最新推荐文章于 2025-04-23 11:38:43 发布
阅读量2.2k 收藏 6
点赞数
分类专栏: 大数据 security hadoop 文章标签: docker kerberos linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liliwei0213/article/details/114240030
版权
本文介绍如何使用Docker快速构建Kerberos KDC中心及客户端,并配置相关参数以实现Hadoop等集群的认证需求。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

使用Docker创建Kerberos认证中心

使用Docker创建Kerberos认证中心

使用Docker构建Kerberos KDC中心以及客户端,此中心可供Hadoop等集群使用。

1、构建KDC中心

我们此处使用Dockerfile文件直接构建需要的镜像:

FROM centos:7

RUN yum install -y krb5-server krb5-libs krb5-auth-dialog krb5-workstation

RUN echo -e "[kdcdefaults]\n"\
" kdc_ports = 88\n"\
"  kdc_tcp_ports = 88\n"\
"\n"\
"[realms]\n"\
" KRBKDC.COM = {\n"\
"  #master_key_type = aes256-cts\n"\
"  acl_file = /var/kerberos/krb5kdc/kadm5.acl\n"\
"  dict_file = /usr/share/dict/words\n"\
"  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab\n"\
"  max_renewable_life = 7d\n"\
"  supported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal\n"\
" }\n"\
 > /var/kerberos/krb5kdc/kdc.conf

RUN echo -e "includedir /etc/krb5.conf.d/\n"\
"\n"\
"[logging]\n"\
" default = FILE:/var/log/krb5libs.log\n"\
" kdc = FILE:/var/log/krb5kdc.log\n"\
" admin_server = FILE:/var/log/kadmind.log\n"\
"\n"\
"[libdefaults]\n"\
" dns_lookup_kdc = false\n"\
" dns_lookup_realm = false\n"\
" ticket_lifetime = 24h\n"\
" renew_lifetime = 7d\n"\
" forwardable = true\n"\
" default_realm = KRBKDC.COM\n"\
" udp_preference_limit = 1\n"\
"[realms]\n"\
" KRBKDC.COM = {\n"\
"  kdc = kdc1\n"\
"  admin_server = kdc1\n"\
" }\n"\
"[domain_realm]\n"\
" .krbkdc.com = KRBKDC.COM\n"\
" krbkdc.com = KRBKDC.COM\n"\
> /etc/krb5.conf

RUN sh -c '/bin/echo -e "kdcAdmin\nkdcAdmin\n" | /usr/sbin/kdb5_util create -s '
RUN sh -c '/bin/echo -e "kdcAdmin\nkdcAdmin\n" | /usr/sbin/kadmin.local -q "addprinc admin/admin" '
RUN echo -e "admin/admin@KRBKDC.COM    *" > /var/kerberos/krb5kdc/kadm5.acl
RUN chkconfig krb5kdc on
RUN chkconfig kadmin on

其中default_realm可以根据需要改成自己的名字。

  1. [realms]内,KRBKDC.COM可根据需要修改。kdc1需要添加到/etc/hosts文件中,
    hosts文件
  2. RUN sh -c '/bin/echo -e “kdcAdmin\nkdcAdmin\n” | /usr/sbin/kdb5_util create -s ’
    RUN sh -c '/bin/echo -e “kdcAdmin\nkdcAdmin\n” | /usr/sbin/kadmin.local -q “addprinc admin/admin” ’
    此两句中,kdcAdmin是后面要创建的密码,用户可自定义。
    第一句是为了创建数据库,第二句为了创建管理员用户。
  3. RUN echo -e “admin/admin@KRBKDC.COM *” > /var/kerberos/krb5kdc/kadm5.acl
    此句是给admin管理员用户赋权,让它可以创建其它用户

以上内容写入Dockerfile后,构建镜像:

docker build -t krb-kdc:1.0 .

创建容器:

docker run --privileged=true  -d  --name="my_kdc" krb-kdc:1.0

启动完成后,进入容器:

docker exec -it my_kdc bash

在容器内启动kerberos相关:

systemctl start kadmin krb5kdc

使用kadmin进入KDC:

kadmin.local

之后,创建用户:

addprinc -randkey hadoopone/master@KRBKDC.COM

生成keytab文件:

xst -k hadoopone.keytab hadoopone/master@KRBKDC.COM

当然,创建用户这一步也可以放到客户端去完成,只要能使用admin连接并进入KDC即可。

2、创建Kerberos客户端client

FROM centos:7

RUN yum install -y krb5-workstation krb5-libs krb5-auth-dialog

RUN echo -e "includedir /etc/krb5.conf.d/\n"\
"\n"\
"[logging]\n"\
" default = FILE:/var/log/krb5libs.log\n"\
" kdc = FILE:/var/log/krb5kdc.log\n"\
" admin_server = FILE:/var/log/kadmind.log\n"\
"\n"\
"[libdefaults]\n"\
" dns_lookup_kdc = false\n"\
" dns_lookup_realm = false\n"\
" ticket_lifetime = 24h\n"\
" renew_lifetime = 7d\n"\
" forwardable = true\n"\
" default_realm = KRBKDC.COM\n"\
" udp_preference_limit = 1\n"\
"[realms]\n"\
" KRBKDC.COM = {\n"\
"  kdc = kdc1\n"\
"  admin_server = kdc1\n"\
" }\n"\
"[domain_realm]\n"\
" .krbkdc.com = KRBKDC.COM\n"\
" krbkdc.com = KRBKDC.COM\n"\
> /etc/krb5.conf


CMD ["/usr/sbin/init"]

将内容写入Dockerfile,注意以下几项:

  1. realms与domain_realm 内需要与KDC相对应
  2. 创建并启动容器后,需要将kdc的hostname写入/etc/hosts
    在这里插入图片描述
    创建容器:
docker run --privileged=true -d  --name="my_krb_agent" krb-agent:1.0

进入容器后,可以将KDC的keytab文件取过来使用(可以使用挂卷、docker cp 等方式,此处不再赘述),也可以直接尝试直接使用admin进入KDC,在客户端容器内生成

客户端认证方式举例:

  • kinit admin/admin
  • kinit -kt /xx/xx/admin.keytab admin/admin
    使用以上任一一种方式认证之后,可使用kadmin进入管理员界面。

删除当前的认证的缓存
kdestroy

查看ticket是否是renewable
klist

Your local changes would be overwritten by merge. Commit, stash or revert them to proceed.
11-13 3313
今天使用git pull时候出现这个提示。 Your local changes would be overwritten by merge. Commit, stash or revert them to proceed. 如果Pull 会把我修改的代码覆盖。 解决方案 第一步: stash changes 储存我自己的修改 你操作完了,发现项目是修改前的了。 第二步:Pull 把远程仓库的代码拉下来 第三步:unstash changes 取出我们的修改,merge合并,c..
Your local changes will be overwritten by merge. Commit, stash, or revert them to proceed
SunnyRivers
12-04 1011
当你尝试合并一个分支到当前工作分支时,Git检测到你的工作目录或暂存区存在未提交的改动,这些改动可能与即将合并的分支存在冲突。为了避免数据丢失或意外覆盖,Git暂停了合并操作,并抛出了上述警告。这一机制体现了Git对开发者工作的尊重与保护,但同时也要求开发者采取措施,主动管理这些未提交的更改。使用git reset --hard命令将工作目录和暂存区恢复到最近一次提交的状态。你决定放弃当前的本地更改,希望回到最近一次提交的状态。快速清除工作区,适合彻底放弃当前的修改。注意,此操作会永久丢失未提交的更改。
[git pull]Your local changes will be overwritten by merge. Commit, stash, or revert them to proceed.
上烟雨心上尘的博客
02-18 217
暂存(Stash)本地更改。
Your local changes would be overwritten by merge.Commit, stash or revert them to proceed
qq_43535972的博客
04-23 485
本想git pull拉取代码,但是突然遇到这种情况。当您执行git pull或git merge时,Git 检测到,而这些修改会被即将合并的代码覆盖。Git 要求您先处理这些本地修改才能继续合并。您本地修改了src/A.java但未提交同事已提交了src/A.java的新版本到远程仓库您运行git pull时,Git 发现这两处修改可能冲突。
git pull 报错:Your local changes would be overwritten by merge.Commit, stash or revert them to proceed
qq_42956376的博客
11-19 806
将本地改动的代码,先保存到本地仓库,执行完后,会发现自己改动的代码都没有了,不用担心,后面如果还想用,可以在从本地仓库拿出来。第三步:如果刚才改动的代码还想用,想合并到本地中,进行下面的操作。如果不想在使用改动的代码了就无需执行下面的操作。原因:本地有文件改动并且未提交,当前文件和远程服务上的最新版本有冲突,在git pull的时候无法更新。现在可以进行git pull了。
Your local changes would be overwritten by merge.Commit, stash or revert them to proceed.
最新发布
05-28
根据之前的引用资料,解决方法主要有commitstashrevert三种。首先,我得确认用户的具体情况,比如他们的本地更改是否已经完成,是否需要保留,或者是否可以丢弃。用户可能不太清楚这三种方法的适用场景,需要...
Git拉取失败 Your local changes would be overwritten by merge.Commit, stash or revert them to proceed.
04-05
1. 提交本地修改:如果你的本地修改已经完成,并且你希望将这些修改提交代码仓库中,可以先使用`git add`命令将修改添加到暂存区,然后使用`git commit`命令提交修改。提交后再进行拉取操作就不会出现冲突了。 2....
Your local changes would be overwritten by merge git
nongcunqq的博客
08-15 612
在使用Git的过程中,有些时候我们只想要 git 服务器中的最新版本的项目,对于本地的项目中修改不做任何理会,就需要用到 Git pull 的强制覆盖。选择需要的reset模式:hard(即放弃本地代码,新修改的都不要了,退回上一版本,再拉取代码到本地。通过VCS -> Git -> Stash Changes,将本地的所有改动暂存到本地仓库。这一步执行后会撤销本地的所有改动,这时候不用担心自己修改的代码怎么不见了,还可以拿出来的。直接覆盖本地的代码,放弃自己本地的改动,只保留服务器端代码
Git冲突:Your local changes would be overwritten by merge. Commit, stash or revert them to proceed.
henry_rhy的博客
04-30 5440
Your local changes would be overwritten by merge. Commit, stash or revert them to proceed.
git解决Your local changes would be overwritten by merge
健康平安的活着的专栏
09-17 4971
一 问题描述 1.1 问题描述 在pull,拉取代码的时候,提示如下:如果Pull 成功会把我修改的代码覆盖。 Your local changes would be overwritten by merge Commit, stash or revert them to proceed. 点击查看: 二操作办法 2.1储存我自己的修改步 先把 我们的修改 Stash 。存储起来。。你操作完了。发现项目是修改前的了。。 2.2Pull代码 2.3取出我...
Your local changes will be overwritten by merge. Commit,stash,or revert them to proceed.View them
qq_43588129的博客
04-01 3451
有时候我们更新远程仓库的代码时,会提示Your local changes will be overwritten by merge.Commit,stash,or revert them to proceed.View them。然后你会去查看commit,发现没有需要commit代码;这时去查看stash也没有啊。根据提示这个,去本地的idea项目中找到删除,然后重新update一下就行。1.点击git–>找到相应分支—>update。idea操作版(其实我不会写命令)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值