快捷導(dǎo)航

linux環(huán)境之kerberos服務(wù)安裝方式

更新時(shí)間：2024年10月03日 11:33:33 作者：W_StackOverFlow_W

本文記錄了在Linux環(huán)境下搭建Kerberos服務(wù)的詳細(xì)步驟,包括安裝時(shí)間同步服務(wù)、配置Kerberos服務(wù)、編輯配置文件、創(chuàng)建realm、開(kāi)啟服務(wù)等,同時(shí),介紹了如何創(chuàng)建和使用keytab文件,以及客戶端的安裝和使用,為需要開(kāi)啟Kafka Kerberos認(rèn)證的用戶提供了實(shí)用指南

kerberos服務(wù)安裝-linux環(huán)境

由于需要調(diào)試kafka開(kāi)啟kerberos認(rèn)證相關(guān)的環(huán)境，特此記錄一下關(guān)于kerberos環(huán)境搭建的步驟。

安裝時(shí)間同步服務(wù)

yum install -y ntp
systemctl enable ntpd
systemctl start ntpd

安裝krb5服務(wù)

yum install -y krb5-server krb5-config

安裝完成后會(huì)在/var目錄下產(chǎn)生kerberos目錄：

編輯配置文件

編輯 /var/kerberos/krb5kdc/kdc.conf配置文件

vi /var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
#EXAMPLE.COM = {
 TEST.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
  max_renewable_life = 7d
 }

將EXAMPLE.COM修改為自己要是用的標(biāo)識(shí)，我是用的是TEST.COM，在配置項(xiàng)的末尾增加了一項(xiàng)配置：max_renewable_life = 7d

編輯/var/kerberos/krb5kdc/kadm5.acl 文件

vi /var/kerberos/krb5kdc/kadm5.acl

*/admin@TEST.COM        *

說(shuō)明：此項(xiàng)編輯的意思是任何包含“/admin”的principal 都擁有所有權(quán)限（admin）。

編輯文件/etc/krb5.conf

vi /etc/krb5.conf

配置完成參考：

# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
# renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
# default_realm = EXAMPLE.COM
 default_realm = TEST.COM
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
TEST.COM = {
  kdc = hadoop.test.com
  admin_server = hadoop.test.com
 }

[domain_realm]
 .test.com = TEST.COM
 test.com = TEST.COM

創(chuàng)建realm

kdb5_util create -r TEST.COM -s

開(kāi)啟krb5kdc和kadmin服務(wù)，并設(shè)置開(kāi)機(jī)啟動(dòng)

systemctl start krb5kdc.service
systemctl start kadmin.service
systemctl enable krb5kdc.service
systemctl enable kadmin.service

以上kerberos服務(wù)安裝基本完成，以下測(cè)試使用下

創(chuàng)建keytab文件

1、使用命令kadmin.local進(jìn)入krb的命令界面

2、使用命令addprinc admin/admin創(chuàng)建admin用戶

3、使用命令ktadd -k /home/kerberos_test/admin.keytab -norandkey admin/admin生成admin.keytab文件到/home/kerberos_test/目錄下（目錄自行指定）。

4、exit退出命令行界面

客戶端安裝及使用

安裝krb5-workstation

yum install -y krb5-workstation

安裝完成后可以通過(guò)klist命令查看keytab的內(nèi)容了：

klist -kt /home/kerberos_test/admin.keytab

注：如果使用kinit 進(jìn)行初始化，需要在/etc/hosts文件中增加相關(guān)的配置

#示例，需要參考/etc/krb5.conf中realms相關(guān)的配置：
192.168.4.133 hadoop.test.com TEST.COM

加好之后就可以使用kinit命令了：

該操作主要解決以下問(wèn)題：

其他可用命令參考(僅用作備份使用)：

#刪除用戶
kadmin.local delete_principal kafka/test@TEST.COM
#帶密碼添加用戶
kadmin.local addprinc -pw aaaaaa kafka/test@TEST.COM
#導(dǎo)出用戶keytab文件
kadmin.local ktadd -k /etc/security/keytabs/zookeeper.keytab -norandkey zookeeper/test@TEST.COM
#初始化用戶
kinit kafka/test@TEST.COM
#查看當(dāng)前素有用戶
kadmin.local  listprincs
#查看列表
klist
#查看krb5kdc.log日志
tail -f /var/log/krb5kdc.log
#查看kadmind.log日志
tail -f /var/log/kadmind.log