Kerberos + OpenLDAP集成测试

最新推荐文章于 2023-02-23 10:00:57 发布
最新推荐文章于 2023-02-23 10:00:57 发布
阅读量2k 收藏 2
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tswisdom/article/details/85079729
版权
本文探讨了Kerberos与OpenLDAP的集成方案,分析两者作为独立用户认证系统的关系,以及在大数据平台如CDH中的应用。文章记录了集成过程中遇到的kinit登录失败问题及其解决方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近研究了下Kerberos + OpenLDAP的集成,得出结论如下:

1、Kerberos 与OpenLDAP是两套分别独立的用户认证系统

2、OpenLDAP主要做用户管理,其可以作为Kerberos的用户存储数据库

3、OpenLDAP可以与SSSD、SSH集成来作为Linux远程登录用户管理

4、对于大数据平台比如CDH,可以集成Kerberos也可以集成OpenLDAP,但是集成时依然是两套独立的用户认证系统,可以通过后台脚本或者其他方式做到在两个系统中同时创建用户,但是本质上依然为两套

5、从本质上来说,可以直接在LDAP中创建用户,通过Kinit来访问,但是发现创建的用户kinit登陆不了,报如下错误:

 kpasswd steve1@FIELD.HORTONWORKS.COM
kpasswd: KDC has no support for encryption type getting initial ticket

在日志中发现:

12月 18 20:25:41 test-ldap2 krb5kdc[77137](info): AS_REQ (8 etypes {18 17 20 19 16 23 25 26}) 192.168.116.201: CANT_FIND_CLIENT_KEY: steve@FIELD.HORTONWORKS.COM for krbtgt/FIELD.HORTONWORKS.COM@FIELD.HORTONWORKS.COM, KDC has no support for encryption type
12月 18 20:25:41 test-ldap2 krb5kdc[77137](info): closing down fd 15
12月 18 20:27:41 test-ldap2 krb5kdc[77137](info): AS_REQ (11 etypes {18 17 20 19 16 23 25 26 1 3 2}) 192.168.116.201: CANT_FIND_CLIENT_KEY: steve@FIELD.HORTONWORKS.COM for krbtgt/FIELD.HORTONWORKS.COM@FIELD.HORTONWORKS.COM, KDC has no support for encryption type
12月 18 20:27:41 test-ldap2 krb5kdc[77137](info): closing down fd 15
12月 18 20:27:45 test-ldap2 krb5kdc[77137](info): AS_REQ (11 etypes {18 17 20 19 16 23 25 26 1 3 2}) 192.168.116.201: CANT_FIND_CLIENT_KEY: steve@FIELD.HORTONWORKS.COM for krbtgt/FIELD.HORTONWORKS.COM@FIELD.HORTONWORKS.COM, KDC has no support for encryption type
12月 18 20:27:45 test-ldap2 krb5kdc[77137](info): closing down fd 15
12月 18 20:41:11 test-ldap2 krb5kdc[77137](info): AS_REQ (11 etypes {18 17 20 19 16 23 25 26 1 3 2}) 192.168.116.201: CANT_FIND_CLIENT_KEY: steve1@FIELD.HORTONWORKS.COM for kadmin/changepw@FIELD.HORTONWORKS.COM, KDC has no support for encryption type
12月 18 20:41:11 test-ldap2 krb5kdc[77137](info): closing down fd 15
12月 18 20:42:32 test-ldap2 krb5kdc[77137](info): AS_REQ (11 etypes {18 17 20 19 16 23 25 26 1 3 2}) 192.168.116.201: ISSUE: authtime 1545136952, etypes {rep=18 tkt=18 ses=18}, steve1@FIELD.HORTONWORKS.COM for krbtgt/FIELD.HORTONWORKS.COM@FIELD.HORTONWORKS.COM
12月 18 20:42:32 test-ldap2 krb5kdc[77137](info): closing down fd 15

解决该错误需要从kadmin中将密码修改下就可以了:

kadmin.local:  cpw steve1@FIELD.HORTONWORKS.COM
Enter password for principal "steve1@FIELD.HORTONWORKS.COM": 
Re-enter password for principal "steve1@FIELD.HORTONWORKS.COM": 
Password for "steve1@FIELD.HORTONWORKS.COM" changed.
kadmin.local:  exit

 

参考文档:

https://help.ubuntu.com/lts/serverguide/kerberos-ldap.html.en

https://community.hortonworks.com/articles/199542/configuring-kerberos-with-openldap-back-end.html

http://k5wiki.kerberos.org/wiki/LDAP_on_Kerberos

https://blog.youkuaiyun.com/cheng_fangang/article/details/40143261

http://blog.51cto.com/11555417/2065747

tswisdom
关注
OpenLDAP + Ranger +Kerberos 三方集成实现身份、权限认证
z_ran的博客
12-15 2275
OpenLDAP+Kerberos+Ranger集成
配置Kerberos+LDAP整合,共用LDAP 数据库
周源的专栏
10-23 6924
1、安装ldap yum install db4 db4-utils db4-devel cyrus-sasl* krb5-server-ldap -y yum install openldap openldap-clients openldap-servers openldap-devel compat-openldap -y   查看安装的版本: $ rpm -qa openldap
OpenLDAP安装测试
08-11
OpenLDAP安装测试 OpenLDAP学习 OpenLDAP教程
Openldap集成Kerberos
Swordfall的博客
04-22 484
1.概述   openldap集成kerberos,有两种,一是openldapkerberos各自拥有个人的数据库,一是openldapkerberos共用一个数据库。   以下操作是在https://www.cnblogs.com/swordfall/p/12009716.htmlKerberos基本原理、安装部署及用法和https://www.cnblogs.com/swordf...
kerberos编译安装并配置openldap作为其后端数据库
TMH_ITBOY的博客
07-15 1428
注意,由于kerberos使用openldap作为后端数据存储,则需要openldap的配置中具有kerberos的schema配置。搭建openldap并添加kerberos的schema到openldap配置中,请结合上一篇文章关于kerberos.ldif的使用部分。 一、编译安装kerberos 下载kerberos源码包到/opt/packages目录下。 cd /opt/packages && wget https://kerberos.org/dist/krb5/1.19/k
OpenLDAP的安装测试及管理
weixin_34355715的博客
05-30 102
简介:    LDAP(轻量级目录服务访问协议,Lightweight Directory Access Protocol)基于X.500标准,支持TCP/IP,使用简单方便。现在越来越多的网络应用系统都支持LDAP。      目录是一个为查询、浏览和搜索而优化的专业分布式数据库,它成树状结构组织数据,就好象Linux/Unix系统中的文件目录一样。目录数据库和关系数据库不同,它有优异的读性能,...
集成 OpenLDAPKerberos 实现统一认证(系列文章)
Laurence的技术博客
01-30 866
本系列文章发表于InfoQ,共计三篇,文章针对OpenLDAPKerberos的集成和统一认证给出了完整的解决方案,以下是三篇文章的具体信息:1. 整合后台数据库;2. 基于SSSD同步LDAP账号;3. 基于SASL/GSSAPI深度集成
OpenLDAP+Kerberos+Ranger实现用户同步
z_ran的博客
02-23 692
OpenLDAP+Kerberos+ranger实现用户同步
Linux LDAP安装部署集成kerberos
wangkuangood3200的专栏
09-12 943
一、概述 由于Hadoop安全模块不存储用户和用户组信息,同时在集群开启kerberos认证后,需要映射Kerberos Principle到linux的用户及用户组,统一管理用户信息的方式有OpenLDAP和AD,而AD是部署在Windows上的,本文主要介绍在linux环境下OpenLDAP的安装及部署。 二、Server端安装与配置 2.1 安装介质 $ yum install ...
kerberos集成ldap
帆了个帆的专栏
05-29 2867
注意:在安装过程中一定要注意目录/var/lib/ldap和/etc/openldap/slapd.d这两个目录权限,集成过程中很多问题都是因为这两个目录权限设置错误引起的;因为安装的时候需要使用root账户,生成的配置文件不经意间就被改成了root;所以出现问题第一步就检查这两个目录权限 chown -R ldap:ldap /etc/openldap/slapd.d && ch...
OpenLdap测试报告(原创)
09-04
原创 OpenLdap测试报告 10W+数据 80并发 15天测试结果
OpenLDAP性能测试分析与优化
03-19
NULL 博文链接:https://binglanhuoli.iteye.com/blog/721448
ldap读取 测试使用
02-01
ldap测试文件,可以简单修改基本参数,就可以执行main方法,希望对你有所帮助
LDAP-openldap服务部署和测试(YUM安装)
weixin_33912246的博客
06-17 467
1. 概述2. 服务端部署过程2.1 软件包说明2.2 部署过程2.3 配置过程3. 测试4. 生成LDIF格式文件4.1 安装migrationtools工具4.2 用migrationtools生成ldif文件4.3 添加ldif到ldap数据库5. 日志配置5.1 openldap的日志级别5.2 配置日志功能6. 客户端配置6.1 基础环境准备6.2 配置nslcd客户端7. 添加系...
OpenLDAPKerberos的集成
weixin_42728895的博客
03-08 655
参考链接: https://blog.51cto.com/10788142/2167923#h26 LDAP 和Kerberos假设已经安装完成,可以看我前面的博客 LDAP:host1 Kerberos:host2 一、LDAP服务端 1.yum安装krb5-server-ldap yum install krb5-server-ldap -y 2.配置kerberos的schema cp /usr/share/doc/krb5-server-ldap-1.15.1/kerberos.schema /e
集成 OpenLDAPKerberos 实现统一认证 (1):整合后台数据库
Laurence的技术博客
06-07 3560
本文首发于 InfoQ,写作本系列文章的背景是我们要在大数据平台/企业数据湖场景下给出中心化的用户身份认证方案。此前,我们实现过Windows AD + Kerberos的集成方案,由于Windows AD是LDAP和Kerberos的双重实现,这种天然优势使得Windows AD可以实现真正意义上的(大数据集群的)Kerberos账号与企业用户账号的统一管理。当我们想在OpenLDAP + Kerberos上实现同样的目标时,发现这一领域的知识与方案琐碎而凌乱,缺少统一连贯,脉络清晰的讲解
集成 OpenLDAPKerberos 实现统一认证 (2):基于 SSSD 同步 LDAP 账号
Laurence的技术博客
06-07 3512
本文首发于 InfoQ,写作本系列文章的背景是我们要在大数据平台/企业数据湖场景下给出中心化的用户身份认证方案。此前,我们实现过Windows AD + Kerberos的集成方案,由于Windows AD是LDAP和Kerberos的双重实现,这种天然优势使得Windows AD可以实现真正意义上的(大数据集群的)Kerberos账号与企业用户账号的统一管理。当我们想在OpenLDAP + Kerberos上实现同样的目标时,发现这一领域的知识与方案琐碎而凌乱,缺少统一连贯,脉络清晰的讲解
openldap 集成windows AD认证
最新发布
06-03
要将 OpenLDAP 集成到 Windows AD 认证中,需要进行以下步骤: 1. 安装 OpenLDAP:首先需要安装 OpenLDAP,可以在官网下载相应的安装包进行安装。 2. 安装 Kerberos:在 Windows AD 中使用 Kerberos 进行身份验证,因此需要在 OpenLDAP 服务器上安装 Kerberos。 3. 配置 Kerberos:配置 Kerberos,以便 OpenLDAP 服务器可以与 Windows AD 进行身份验证。 4. 配置 OpenLDAP:在 OpenLDAP 服务器上配置 LDAP,以便可以使用 Kerberos 进行身份验证。 5. 测试:最后,进行测试以确保 OpenLDAP 可以正确地与 Windows AD 进行身份验证。 需要注意的是,这是一个比较复杂的过程,需要具备一定的技术水平。建议在进行操作之前先备份相关数据,以免出现不可预料的错误。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值