Kerberos + OpenLDAP集成测试

最新推荐文章于 2025-11-17 13:57:47 发布
原创 最新推荐文章于 2025-11-17 13:57:47 发布 · 2.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了Kerberos与OpenLDAP的集成方案,分析两者作为独立用户认证系统的关系,以及在大数据平台如CDH中的应用。文章记录了集成过程中遇到的kinit登录失败问题及其解决方法。

最近研究了下Kerberos + OpenLDAP的集成,得出结论如下:

1、Kerberos 与OpenLDAP是两套分别独立的用户认证系统

2、OpenLDAP主要做用户管理,其可以作为Kerberos的用户存储数据库

3、OpenLDAP可以与SSSD、SSH集成来作为Linux远程登录用户管理

4、对于大数据平台比如CDH,可以集成Kerberos也可以集成OpenLDAP,但是集成时依然是两套独立的用户认证系统,可以通过后台脚本或者其他方式做到在两个系统中同时创建用户,但是本质上依然为两套

5、从本质上来说,可以直接在LDAP中创建用户,通过Kinit来访问,但是发现创建的用户kinit登陆不了,报如下错误:

 kpasswd steve1@FIELD.HORTONWORKS.COM
kpasswd: KDC has no support for encryption type getting initial ticket

在日志中发现:

12月 18 20:25:41 test-ldap2 krb5kdc[77137](info): AS_REQ (8 etypes {18 17 20 19 16 23 25 26}) 192.168.116.201: CANT_FIND_CLIENT_KEY: steve@FIELD.HORTONWORKS.COM for krbtgt/FIELD.HORTONWORKS.COM@FIELD.HORTONWORKS.COM, KDC has no support for encryption type
12月 18 20:25:41 test-ldap2 krb5kdc[77137](info): closing down fd 15
12月 18 20:27:41 test-ldap2 krb5kdc[77137](info): AS_REQ (11 etypes {18 17 20 19 16 23 25 26 1 3 2}) 192.168.116.201: CANT_FIND_CLIENT_KEY: steve@FIELD.HORTONWORKS.COM for krbtgt/FIELD.HORTONWORKS.COM@FIELD.HORTONWORKS.COM, KDC has no support for encryption type
12月 18 20:27:41 test-ldap2 krb5kdc[77137](info): closing down fd 15
12月 18 20:27:45 test-ldap2 krb5kdc[77137](info): AS_REQ (11 etypes {18 17 20 19 16 23 25 26 1 3 2}) 192.168.116.201: CANT_FIND_CLIENT_KEY: steve@FIELD.HORTONWORKS.COM for krbtgt/FIELD.HORTONWORKS.COM@FIELD.HORTONWORKS.COM, KDC has no support for encryption type
12月 18 20:27:45 test-ldap2 krb5kdc[77137](info): closing down fd 15
12月 18 20:41:11 test-ldap2 krb5kdc[77137](info): AS_REQ (11 etypes {18 17 20 19 16 23 25 26 1 3 2}) 192.168.116.201: CANT_FIND_CLIENT_KEY: steve1@FIELD.HORTONWORKS.COM for kadmin/changepw@FIELD.HORTONWORKS.COM, KDC has no support for encryption type
12月 18 20:41:11 test-ldap2 krb5kdc[77137](info): closing down fd 15
12月 18 20:42:32 test-ldap2 krb5kdc[77137](info): AS_REQ (11 etypes {18 17 20 19 16 23 25 26 1 3 2}) 192.168.116.201: ISSUE: authtime 1545136952, etypes {rep=18 tkt=18 ses=18}, steve1@FIELD.HORTONWORKS.COM for krbtgt/FIELD.HORTONWORKS.COM@FIELD.HORTONWORKS.COM
12月 18 20:42:32 test-ldap2 krb5kdc[77137](info): closing down fd 15

解决该错误需要从kadmin中将密码修改下就可以了:

kadmin.local:  cpw steve1@FIELD.HORTONWORKS.COM
Enter password for principal "steve1@FIELD.HORTONWORKS.COM": 
Re-enter password for principal "steve1@FIELD.HORTONWORKS.COM": 
Password for "steve1@FIELD.HORTONWORKS.COM" changed.
kadmin.local:  exit

 

参考文档:

https://help.ubuntu.com/lts/serverguide/kerberos-ldap.html.en

https://community.hortonworks.com/articles/199542/configuring-kerberos-with-openldap-back-end.html

http://k5wiki.kerberos.org/wiki/LDAP_on_Kerberos

https://blog.youkuaiyun.com/cheng_fangang/article/details/40143261

http://blog.51cto.com/11555417/2065747

tswisdom
关注
kerberos编译安装并配置openldap作为其后端数据库
TMH_ITBOY的博客
07-15 1617
注意,由于kerberos使用openldap作为后端数据存储,则需要openldap的配置中具有kerberos的schema配置。搭建openldap并添加kerberos的schema到openldap配置中,请结合上一篇文章关于kerberos.ldif的使用部分。 一、编译安装kerberos 下载kerberos源码包到/opt/packages目录下。 cd /opt/packages && wget https://kerberos.org/dist/krb5/1.19/k
OpenLDAP + Ranger +Kerberos 三方集成实现身份、权限认证
z_ran的博客
12-15 2450
OpenLDAP+Kerberos+Ranger集成
Openldap集成Kerberos
Swordfall的博客
04-22 541
1.概述   openldap集成kerberos,有两种,一是openldapkerberos各自拥有个人的数据库,一是openldapkerberos共用一个数据库。   以下操作是在https://www.cnblogs.com/swordfall/p/12009716.htmlKerberos基本原理、安装部署及用法和https://www.cnblogs.com/swordf...
KDC has no support for encryption type in RHEL8 and above
最新发布
allway2的博客
11-17 442
【代码】KDC has no support for encryption type in RHEL8 and above。
OpenLDAP安装测试
08-11
OpenLDAP安装测试 OpenLDAP学习 OpenLDAP教程
OpenLdap测试报告(原创)
09-04
原创 OpenLdap测试报告 10W+数据 80并发 15天测试结果
OpenLDAP的安装测试及管理
weixin_34355715的博客
05-30 121
简介:    LDAP(轻量级目录服务访问协议,Lightweight Directory Access Protocol)基于X.500标准,支持TCP/IP,使用简单方便。现在越来越多的网络应用系统都支持LDAP。      目录是一个为查询、浏览和搜索而优化的专业分布式数据库,它成树状结构组织数据,就好象Linux/Unix系统中的文件目录一样。目录数据库和关系数据库不同,它有优异的读性能,...
集成 OpenLDAPKerberos 实现统一认证(系列文章)
Laurence的技术博客
01-30 980
本系列文章发表于InfoQ,共计三篇,文章针对OpenLDAPKerberos的集成和统一认证给出了完整的解决方案,以下是三篇文章的具体信息:1. 整合后台数据库;2. 基于SSSD同步LDAP账号;3. 基于SASL/GSSAPI深度集成
配置Kerberos+LDAP整合,共用LDAP 数据库
周源的专栏
10-23 7026
1、安装ldap yum install db4 db4-utils db4-devel cyrus-sasl* krb5-server-ldap -y yum install openldap openldap-clients openldap-servers openldap-devel compat-openldap -y   查看安装的版本: $ rpm -qa openldap
OpenLDAP+Kerberos+Ranger实现用户同步
z_ran的博客
02-23 781
OpenLDAP+Kerberos+ranger实现用户同步
CDH6.3.2 配置LDAP+kerberos
h952520296的博客
04-08 2811
本文主要记录 cdhhadoop集群集成 ldap 的过程,这里 ldap 安装的是 OpenLDAP 。LDAP 用来做账号管理,Kerberos作为认证。授权一般由Sentry来决定的。 集群包括7个节点,每个节点的ip、主机名和部署的组件分配如下: 192.168.0.200 master Kerberos KDC 、OpenLDAP 192.168.0.201 slave1 kerberos client、ldap client 192.168.0.202 s..
OpenLDAP性能测试分析与优化
03-19
NULL 博文链接:https://binglanhuoli.iteye.com/blog/721448
ldap读取 测试使用
02-01
ldap测试文件,可以简单修改基本参数,就可以执行main方法,希望对你有所帮助
23、Kerberos与LDAP集成配置指南
u0v1w2x3的博客
08-25 113
本文详细介绍了如何将Kerberos与LDAP进行集成配置,涵盖SSSD与Kerberos的初步配置、OpenLDAP的安装与配置、主KDC和辅助KDC的配置等关键步骤。同时,还提供了LDAP的基本概念、集成流程图、常见问题解决方法以及性能优化建议,帮助用户构建一个高效、安全的身份认证系统。
kerberos集成ldap
帆了个帆的专栏
05-29 2966
注意:在安装过程中一定要注意目录/var/lib/ldap和/etc/openldap/slapd.d这两个目录权限,集成过程中很多问题都是因为这两个目录权限设置错误引起的;因为安装的时候需要使用root账户,生成的配置文件不经意间就被改成了root;所以出现问题第一步就检查这两个目录权限 chown -R ldap:ldap /etc/openldap/slapd.d && ch...
LDAP-openldap服务部署和测试(YUM安装)
weixin_33912246的博客
06-17 532
1. 概述2. 服务端部署过程2.1 软件包说明2.2 部署过程2.3 配置过程3. 测试4. 生成LDIF格式文件4.1 安装migrationtools工具4.2 用migrationtools生成ldif文件4.3 添加ldif到ldap数据库5. 日志配置5.1 openldap的日志级别5.2 配置日志功能6. 客户端配置6.1 基础环境准备6.2 配置nslcd客户端7. 添加系...
OpenLDAPKerberos的集成
weixin_42728895的博客
03-08 718
参考链接: https://blog.51cto.com/10788142/2167923#h26 LDAP 和Kerberos假设已经安装完成,可以看我前面的博客 LDAP:host1 Kerberos:host2 一、LDAP服务端 1.yum安装krb5-server-ldap yum install krb5-server-ldap -y 2.配置kerberos的schema cp /usr/share/doc/krb5-server-ldap-1.15.1/kerberos.schema /e
集成 OpenLDAPKerberos 实现统一认证 (1):整合后台数据库
Laurence的技术博客
06-07 3921
本文首发于 InfoQ,写作本系列文章的背景是我们要在大数据平台/企业数据湖场景下给出中心化的用户身份认证方案。此前,我们实现过Windows AD + Kerberos的集成方案,由于Windows AD是LDAP和Kerberos的双重实现,这种天然优势使得Windows AD可以实现真正意义上的(大数据集群的)Kerberos账号与企业用户账号的统一管理。当我们想在OpenLDAP + Kerberos上实现同样的目标时,发现这一领域的知识与方案琐碎而凌乱,缺少统一连贯,脉络清晰的讲解
Kerberos 与AD集成
03-21
<think>嗯,用户的问题是关于如何实现Kerberos与Active Directory(AD)的集成,需要配置教程和最佳实践。首先,我得回顾一下Kerberos和AD的基本概念。Kerberos是一个网络认证协议,而AD是微软的目录服务,通常用于Windows环境中的身份管理。他们的集成应该涉及到如何在AD环境中配置Kerberos认证,可能用于跨平台的环境或者需要强化安全性的场景。 首先,用户可能需要了解集成的必要性,比如统一身份验证、单点登录(SSO)的好处。然后,具体的步骤可能包括AD的配置、Kerberos服务器的设置、服务主体名称(SPN)的注册、密钥表的生成等。另外,最佳实践可能涉及安全策略、密钥管理和故障排除方法。 我需要检查现有的引用内容。引用[1]提到如何打造统一的KerberosOpenLDAP服务,这可能部分相关,但用户问的是AD,不是OpenLDAP。引用[2]介绍了AD LDS,但可能不够直接。引用[3]详细解释了Kerberos的鉴权过程,这对理解原理有帮助。引用[4]讨论了基于目录的用户管理,与AD的用户管理相关。引用[5]有图片,可能无法直接使用。 接下来,我需要确保回答结构清晰,分步骤说明集成方法,可能包括原理、配置步骤、最佳实践和常见问题。需要确认是否AD本身已经内置了Kerberos,因为实际上AD默认使用Kerberos作为认证协议之一,所以集成可能更多是指如何配置应用或服务使用AD的Kerberos功能。 可能的误解是用户以为需要单独安装Kerberos,而实际上AD已经集成了Kerberos。因此,集成Kerberos与AD可能是指如何让非Windows服务使用AD的Kerberos进行认证。例如,在Linux服务器上配置使用AD的Kerberos域。 因此,步骤可能包括:确保AD域控制器正确配置,设置DNS,创建服务主体,生成keytab文件,配置客户端使用AD的KDC等。最佳实践可能涉及定期轮换密钥、确保时间同步、使用安全的传输协议等。 需要验证这些步骤是否正确,并参考引用中的内容。例如,引用[1]中提到的统一Kerberos和LDAP,可能涉及类似的步骤,但AD本身已经整合了LDAP和Kerberos。因此,配置应用使用AD的Kerberos可能需要通过SPN注册和keytab生成。 另外,引用[3]中的Kerberos鉴权过程需要简明扼要地解释,以帮助用户理解原理。可能还需要提到双向信任、领域配置等内容。 总结:回答需要先解释AD和Kerberos的关系,说明AD内置Kerberos,然后提供配置步骤,比如SPN设置、生成keytab、配置客户端,接着是验证方法和最佳实践,如时间同步、密钥管理。可能还需要提到集成中的常见问题,比如DNS配置错误、时间不同步导致的票据问题。</think>### Kerberos与Active Directory集成配置方法 #### 一、集成原理 Kerberos是Active Directory默认的身份验证协议,AD域控制器(DC)本身充当Kerberos密钥分发中心(KDC)[^3]。集成核心在于: 1. 服务主体名称(SPN)注册:每个服务需在AD中注册唯一标识 2. 密钥表(Keytab)生成:存储服务账户的加密密钥 3. 跨域信任建立(可选):实现不同域间的身份验证 #### 二、配置步骤 1. **环境准备** - 确认AD域功能级别至少为Windows Server 2008 R2 - 确保所有节点时间同步(NTP服务误差<5分钟) 2. **服务账户创建** ```powershell New-ADUser -Name "svc_kerberos" -AccountPassword (ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force) -Enabled $true -ServicePrincipalNames "HTTP/web01.example.com" ``` 3. **SPN注册** ```powershell setspn -S HTTP/web01.example.com svc_kerberos ``` 4. **生成Keytab文件** ```bash ktpass -out krb5.keytab -princ HTTP/web01.example.com@EXAMPLE.COM -mapuser svc_kerberos -crypto AES256-SHA1 -pass P@ssw0rd! -ptype KRB5_NT_PRINCIPAL ``` 5. **客户端配置(Linux示例)** ```conf /etc/krb5.conf: [libdefaults] default_realm = EXAMPLE.COM dns_lookup_realm = false dns_lookup_kdc = true ``` #### 三、最佳实践 1. **密钥管理** - 定期轮换服务账户密码(推荐90天) - 使用`AES256`加密类型而非RC4-HMAC 2. **监控与维护** - 监控Kerberos事件ID:4768(TGS请求)、4771(Kerberos预认证失败) - 使用`klist purge`命令定期清理票据缓存 3. **高可用配置** - 部署至少两个只读域控制器(RODC) - 配置DNS轮询实现KDC负载均衡 #### 四、验证方法 1. 票据获取测试: ```bash kinit svc_kerberos@EXAMPLE.COM klist ``` 2. 服务认证验证: ```bash curl --negotiate -u : http://web01.example.com ``` #### 五、常见问题处理 | 现象 | 解决方案 | |------|----------| | 错误代码0x6(KRB5KRB_AP_ERR_MODIFIED) | 检查服务账户密码与Keytab是否匹配[^1] | | 错误代码0x7(KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN) | 验证SPN是否注册正确 | | 跨域认证失败 | 检查双向信任关系是否建立[^2] | : Kerberos与LDAP的集成需要严格保证加密密钥的一致性 : AD域间信任配置需确保DNS解析和网络连通性 : Kerberos票据有效期默认10小时,需根据业务需求调整
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值