kerberos使用详解

最新推荐文章于 2025-10-17 15:41:08 发布

原创

最新推荐文章于 2025-10-17 15:41:08 发布 · 7.3k 阅读

17 ·

CC 4.0 BY-SA版权

本文详细指导如何在三台虚拟机上安装Kerberos KDC，包括配置kdc.conf与krb5.conf，创建Kerberos数据库，添加管理员并设置权限，以及安装客户端并进行基本操作。确保主机名解析，涉及KDC配置和客户端验证流程。

准备环境

准备三台虚拟机，其中一台安装kerberos的KDC，另外两台安装kerberos的客户端，需要保证三台机器的主机名可以被解析。

主机名	ip	角色
hadoop01	192.168.24.100	KDC
hadoop02	192.168.24.101	Client
hadoop03	192.168.24.102	CLient

安装Kerberos KDC

在hadoop01上安装运行KDC，即安装krb5-server、krb5-libs和krb5-workstation：

yum install krb5-server krb5-libs krb5-workstation krb5-auth-dialog

配置kdc.conf

默认文件位置/var/kerberos/krb5kdc/kdc.conf，也可修改KRB5_KDC_PROFILE环境变量修改该配置文件的位置。

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 HADOOP.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  max_renewable_life = 7d
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }

参数说明：

[kdcdefaults] 该组主要是用于配置全局信息，也就是kdc的默认值。
kdc_ports：kdc默认端口
kdc_t

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

snail_bing

关注关注

5
点赞
踩
17

收藏

觉得还不错? 一键收藏
2
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

kerberos入门指南

weixin_43824520的博客

07-21

850

简介 Kerberos 是一种网络认证协议，其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下， Kerberos 作为一种可信任的第三方认证服务，是通过传统的密码技术（如：共享密钥）执行认证服务的。认证原理 Kerberos认证原理详情见链接安装服务端安装 yum install krb5-serv

Kerberos 深入详解：原理、认证流程与应用场景

PwnGuo的博客

06-27

2162

Kerberos认证协议在企业大数据平台中的应用 Kerberos是一种基于对称密钥加密的网络身份认证协议，通过可信第三方KDC实现安全认证而不传输明文密码。其核心流程包含三个阶段：用户认证获取TGT票据、获取服务票据以及服务端验证。在企业Hadoop集群中，Kerberos被用于实现统一认证，所有客户端访问HDFS前必须经过完整认证流程，包括NameNode和DataNode在内的服务节点都需要配置专属服务主体和keytab文件。该机制通过KDC作为根信任中心，构建了完整的认证信任链，确保只有获得有效票据

2 条评论您还未登录，请先登录后发表或查看评论

2 条评论

大家一起学编程（python） 2021.06.25
确认过眼神，这是一大佬

lady_killer9 2021.06.21
大佬的文章让我受益匪浅，如痴如醉，以后的日子还希望能够得到大佬的谆谆指点！

Kerberos使用

LYQ的博客

07-21

394

/usr/bin/ftp 文件传输协议程序 /usr/bin/kdestroy 销毁 Kerberos 票证 /usr/bin/kinit 获取并缓存 Kerberos 票证授予票证 /usr/bin/klist 显示当前的 Kerberos 票证 /usr/bin/kpasswd 更改 Kerberos 口令 ...

Kerberos的介绍、安装与使用

热门推荐

交换一个思想，能得到俩思想

06-25

1万+

Kerberos原理Kerberos 服务是单点登录系统，这意味着您对于每个会话只需向服务进行一次自我验证，即可自动保护该会话过程中所有后续事务的安全。服务对您进行验证后，即无需在每次使用基于 Kerberos 的服务时进行验证。因此，无需在每次使用这些服务时都在网络上发送口令（增强了安全性）。MIT写了一段故事型的对话，比较生动得表述了Kerberos协议的工作原理：Athena和欧里庇得斯关于

Kerberos 部署与使用

hyunbar的博客

01-23

3907

大数据技术AI Flink/Spark/Hadoop/数仓，数据分析、面试，源码解读等干货学习资料 105篇原创内容 ...

kerberos原理及使用

sanbudeyu_008的博客

05-05

3477

介绍了kerberos的原理、配置、重要的命令行

Kerberos安装教程及使用详解

09-15

**Kerberos协议详解** Kerberos是一种广泛用于计算机网络安全的身份鉴别协议，它设计的核心目标是提供基于密钥的安全服务，实现用户在网络中的一次登录即可访问多个服务，即单点登录（Single Sign-On，SSO）功能。...

网络安全Kerberos攻击技术详解：针对Kerberos的进攻与防御策略

06-04

使用场景及目标：①学习如何使用kerbrute、rubeus和mimikatz等工具进行Kerberos攻击；②理解Kerberoasting、传递票证、金票/银票攻击的具体实现方式；③掌握Skeleton Key的安装与利用，以实现无管理员密码访问共享...

01、Kerberos安全认证之原理及搭建命令使用学习笔记

每个人都是独一无二的，把握好自己的节奏，跟着自己的心走。

07-11

2567

学习kerberos主要原因是目前部门里会有测试kerberos连通性的问题bug，所以以此来系统学习下kerberos安全认证，主要是学习在kerberos安全配置下如何去访问各个大数据组件。

Kerberos 的安装和使用

u011250186的博客

11-25

4424

Kerberos 的安装和使用

krb5-workstation-1.15.1-51.el7_9.x86_64.rpm

12-12

官方离线安装包，亲测可用。使用rpm -ivh [rpm完整包名] 进行安装

Kerberos从入门到精通以及案例实操系列（一）

prefect_start的博客

06-05

6959

整个kerberos认证的过程较为复杂，三次通信中都使用了密钥，且密钥的种类一直在变化，并且为了防止网络拦截密钥，这些密钥都是临时生成的Session Key，即他们只在一次Session会话中起作用，即使密钥被劫持，等到密钥被破解可能这次会话都早已结束，这为整个kerberos认证过程保证了较高的安全性。kerberos认证的整体流图kerberos认证的时序图本地登录（无需认证）远程登录（需进行主体认证，认证操作见下文）退出输入：exit2. 创建Kerberos主体。

Kerberos

啊浪的博客

03-11

1266

简介 Kerberos是不依赖信道安全的，但需要有一个公认可信赖的第三方的网络认证协议。可用于防止窃听、防止重放、保护数据完整性等场合。它在很多登录鉴权场景上被使用。关键字 Authentication Server 认证服务器（AS） Ticket Granting Server 票据授权服务器（TGS）大大票：客户端加密组装的包含自身身份信息的票据，一般是用户密码的...

【kerberos】Kerberos安装使用详解及遇到的问题

Mrerlou的博客

03-18

6308

Kerberos协议： Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务，即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥，使得该协议具有相当的安全性。环境信息：信息版本操作系统 centos6.9 服务器类型虚拟机 CDH 5.13 节点数量 5 节点信息：

用户认证-Kerberos的介绍和使用(Hadoop、Hive、数仓流程、Presto、Kylin集成配置)

迷雾总会解

06-14

3560

Kerberos是一种计算机网络认证协议，用来在非安全网络中，对个人通信以安全的手段进行身份认证它允许某实体在非安全网络环境下通信，向另一个实体以一种安全的方式证明自己的身份。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构，并且能够进行相互认证，即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合，是一种应用对称密钥体制进行密钥管理的系统。（1）登录数据库本地登录（无需认证）远程登录（需进行主体认证，认证操作见下文）

kerberos验证协议安装配置使用

krb___的博客

03-18

2226

Kerberos 是一个网络身份验证协议，用于在计算机网络中进行身份验证和授权。它提供了一种安全的方式，允许用户在不安全的网络上进行身份验证，并获取访问网络资源的权限。

Kerberos 详解

csdn_tom_168的博客

07-19

1348

摘要： Kerberos 是一种基于密钥加密的网络认证协议，通过 KDC（密钥分发中心）实现客户端/服务器安全认证。其核心流程包括：客户端向 AS 获取 TGT（票据授权票据），再通过 TGS 换取服务票据访问资源。采用 AES/DES 加密和时效性验证（如 Authenticator 时间戳）防御重放攻击。支持与 Hadoop 等大数据系统集成，需配置服务主体和 keytab 文件。典型问题包括时钟偏差、预认证失败等，可通过 klist、NTP 同步等工具排查。生产环境需关注 KDC 高可用、密钥轮换和审

CDH集群离线搭建(适用内网)——Kerberos安装配置及使用⑨

M_red的博客

03-13

1696

修改/etc/krb5.conf文件修改/var/kerberos/krb5kdc/kdc.conf文件，修改EXAMPLE.COM为自己公司的域名。修改/var/kerberos/krb5kdc/kadm5.acl文件，修改EXAMPLE.COM为自己公司的域名。在cm界面开启Kerberos认证......

Kerberos协议详解

06-21

Kerberos 是一种集中式网络认证协议，主要用于安全地在网络中进行身份验证。它由 MIT 实验室开发并在 1980 年代中期首次公布。Kerberos 协议的核心目标是解决单点登录（Single Sign-On, SSO）的问题，并提供用户之间的保密通信。 Kerberos 协议包含三个主要步骤： 1. **获取票据许可票 (Ticket-Request)**: 用户（通常称为客户端）在需要服务时，向 Kerberos 认证服务器发送请求，提供用户名和密码。服务器验证这些信息后，生成一个临时的安全凭据，即票据许可票（Ticket），并附带给客户端。 2. **获得服务票 (Service Ticket)**: 客户端使用票据许可票向另一个服务服务器（如 HTTP 服务器或数据库）请求服务。这个过程中，服务器再次验证票据许可票，通过内部加密算法（通常使用 KDC 的公钥）对请求进行加密，生成服务票。 3. **验证与服务交互**: 用户与服务服务器之间的所有通信都基于服务票。服务服务器会验证服务票的有效性和来源，确保只有持有正确票据的用户才能访问服务。