linux环境之kerberos服务安装方式
更新时间:2024年10月03日 11:33:33 作者:W_StackOverFlow_W
本文记录了在Linux环境下搭建Kerberos服务的详细步骤,包括安装时间同步服务、配置Kerberos服务、编辑配置文件、创建realm、开启服务等,同时,介绍了如何创建和使用keytab文件,以及客户端的安装和使用,为需要开启Kafka Kerberos认证的用户提供了实用指南
kerberos服务安装-linux环境
由于需要调试kafka开启kerberos认证相关的环境,特此记录一下关于kerberos环境搭建的步骤。
安装时间同步服务
yum install -y ntp systemctl enable ntpd systemctl start ntpd
安装krb5服务
yum install -y krb5-server krb5-config
安装完成后会在/var目录下产生kerberos目录:
编辑配置文件
编辑 /var/kerberos/krb5kdc/kdc.conf配置文件
vi /var/kerberos/krb5kdc/kdc.conf
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
[realms]
#EXAMPLE.COM = {
TEST.COM = {
#master_key_type = aes256-cts
acl_file = /var/kerberos/krb5kdc/kadm5.acl
dict_file = /usr/share/dict/words
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
max_renewable_life = 7d
}
将EXAMPLE.COM修改为自己要是用的标识,我是用的是TEST.COM,在配置项的末尾增加了一项配置:max_renewable_life = 7d
编辑/var/kerberos/krb5kdc/kadm5.acl 文件
vi /var/kerberos/krb5kdc/kadm5.acl
*/admin@TEST.COM *
说明:此项编辑的意思是 任何包含“/admin”的principal 都拥有所有权限(admin)。
编辑文件/etc/krb5.conf
vi /etc/krb5.conf
配置完成参考:
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
# renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
# default_realm = EXAMPLE.COM
default_realm = TEST.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
TEST.COM = {
kdc = hadoop.test.com
admin_server = hadoop.test.com
}
[domain_realm]
.test.com = TEST.COM
test.com = TEST.COM创建realm
kdb5_util create -r TEST.COM -s
开启krb5kdc和kadmin服务,并设置开机启动
systemctl start krb5kdc.service systemctl start kadmin.service systemctl enable krb5kdc.service systemctl enable kadmin.service
以上kerberos服务安装基本完成,以下测试使用下
创建keytab文件
1、使用命令kadmin.local进入krb的命令界面
2、使用命令addprinc admin/admin创建admin用户
3、使用命令ktadd -k /home/kerberos_test/admin.keytab -norandkey admin/admin生成admin.keytab文件到/home/kerberos_test/目录下(目录自行指定)。
4、exit退出命令行界面
客户端安装及使用
安装krb5-workstation
yum install -y krb5-workstation
安装完成后可以通过klist命令查看keytab的内容了:
klist -kt /home/kerberos_test/admin.keytab
注:如果使用kinit 进行初始化,需要在/etc/hosts文件中增加相关的配置
#示例,需要参考/etc/krb5.conf中realms相关的配置: 192.168.4.133 hadoop.test.com TEST.COM
加好之后就可以使用kinit命令了:
该操作主要解决以下问题:
其他可用命令参考(仅用作备份使用):
#删除用户 kadmin.local delete_principal kafka/test@TEST.COM #带密码添加用户 kadmin.local addprinc -pw aaaaaa kafka/test@TEST.COM #导出用户keytab文件 kadmin.local ktadd -k /etc/security/keytabs/zookeeper.keytab -norandkey zookeeper/test@TEST.COM #初始化用户 kinit kafka/test@TEST.COM #查看当前素有用户 kadmin.local listprincs #查看列表 klist #查看krb5kdc.log日志 tail -f /var/log/krb5kdc.log #查看kadmind.log日志 tail -f /var/log/kadmind.log
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
相关文章
这篇文章主要介绍了基于Linux搭建Apache网站服务配置详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2019-05-05
这篇文章主要介绍了Linux中的ls -l命令展示信息,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2023-11-11
这篇文章主要介绍了LINUX查看端口占用情况,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2023-04-04
在本篇文章里小编给各位分享的是关于安装Linux的flash的步骤方法,对此有需要的朋友们可以学习下。2020-03-03
Linux VPS 计划任务crond命令的使用方法分享,需要的朋友可以参考下。2011-11-11
这篇文章主要介绍了Ubuntu16.04下CUDA8.0和CUDA9.0共存,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-08-08
在Linux系统中,进程管理是系统管理员和开发者必须掌握的核心技能之一,本文将详细介绍Linux进程管理的常用方法,包括查看进程、控制进程和终止进程,有需要的小伙伴可以跟随小编一起了解下2025-09-09
这篇文章主要介绍了ubuntu/deepin制作快捷启动图标的方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下2017-02-02
Linux安装yum时出现apt-get install E: 无法定位软件包问题解决
这篇文章主要介绍了Linux安装yum时出现apt-get install E: 无法定位软件包问题解决的相关资料,文中通过图文介绍的非常详细,对大家的学习或者工作具有一定的参考借鉴价值,需要的朋友可以参考下2024-12-12
这篇文章主要介绍了Linux通过匿名管道进行进程间通信,介绍了什么是管道,popen函数,pipe调用等相关内容,小编觉得还是挺不错的,具有一定借鉴价值,需要的朋友可以参考下2018-01-01
最新评论