kerberos详解

一、介绍

kerberos概述

Kerberos始于20世纪80年代早期麻省理工学院(MIT)的一个研究项目,是一个网络身份验证系统。Kerberos提供的完整定义是安全的、单点登录的、可信的第三方相互身份验证服务。

认证过程

相关概念

  1. KDC(key Distribution Center):密钥分发中心,是统一认证服务,负责管理发放票据,记录授权。
  2. KDC Server:作为密钥分发中心(KDC)的计算机或服务器。
  3. KDC Client:集群中针对KDC进行身份验证的任何计算机。
  4. Realm:kerberos管理的领域的标识。
  5. Principal:用于验证一个用户或者服务的唯一标识,相当于一个账号,需要为其设置密码。

Principal的形式为:主名称/实例名@领域名。

主名称可以是用户名或者服务名,标识用于提供各种网络服务(比如hdfs、hive);

实例名,对于用户主体,实例名是可选的,对于服务主体,实例则是必须的。

二、安装

安装server端

只需要在一台服务器上安装,如果提示没权限使用sudo安装

shell 复制代码
yum -y install krb5-libs krb5-workstation krb5-server

安装客户端

集群中每台节点都必须要安装客户端,如果提示没权限使用sudo安装

shell 复制代码
yum -y install krb5-libs krb5-workstation

配置

更改KDC配置文件

默认路径:/var/kerberos/krb5kdc/

shell 复制代码
sudo vi /var/kerberos/krb5kdc/kdc.conf

默认配置文件:

shell 复制代码
[kdcdefaults]
 kdc_ports = 88 # kdc 端口
 kdc_tcp_ports = 88 #kdc通信端口

[realms]
 EXAMPLE.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }

修改后的配置文件:

shell 复制代码
[kdcdefaults]
 kdc_ports = 88 # kdc 端口
 kdc_tcp_ports = 88 #kdc通信端口

[realms]
 HADOOP.COM = {
  #master_key_type = aes256-cts
  max_renewable_life = 7d 0h 0m 0s
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }

说明:

EXAMPLE.COM:自己设定的域,一般为了识别使用大写;

max_renewable_life:是否能进行ticket的renew,也就是票据刷新;

master_key_type:和supported_enctypes默认使用aes256-cts。由于,JAVA使用aes256-cts验证方式需要安装额外的jar包,更多参考2.2.9关于AES-256加密,推荐不使用。

acl_file:标注了admin的权限,格式如下:

Kerberos_principal permissions [target_principal] [restrictions]支持通配符等。

admin_keytab:KDC进行校验的keytab;

supported_enctypes:支持的校验方式;aes256-cts要去掉;

更改krb5.conf

默认路径为:/etc/krb5.conf

默认配置文件:

shell 复制代码
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
# default_realm = EXAMPLE.COM
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
# EXAMPLE.COM = {
#  kdc = kerberos.example.com
#  admin_server = kerberos.example.com
# }

[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM

修改后的配置文件:

shell 复制代码
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

[logging] # 日志模块
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
 default_realm = HADOOP.COM
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 HADOOP.COM = {
  kdc = hadoop162
  admin_server = hadoop162
 }

[domain_realm]
 .hadoop.com = HADOOP.COM
 hadoop.com = HADOOP.COM

文件说明:

[logging]:表示日志存储位置

[libdefaults]:每种连接的配置

default_realm:默认的realm,必须和配置的realm一致;

udp_preference_limit = 1 :禁止使用udp可以防止一个Hadoop中的错误;

ticket_lifetime:凭证有效时间,一般为24小时;

renew_lifetime:凭证最长可以被延期的时限,一般为一周,凭证过期后对安全认证的服务访问会失败;

kdc:代表要kdc的位置。格式是 机器:端口;

admin_server:代表admin的位置。格式是机器:端口;

default_domain:代表默认的域名;

更改完成后将krb5.conf同步到其他节点

shell 复制代码
xsync /etc/krb5.conf

kadm5.acl

默认位置:/var/kerberos/krb5kdc/kadm5.acl

shell 复制代码
*/admin@EXAMPLE.COM     *

说明:
/admin代表admin实例的全部用户主体
HADOOP.COM代表领域
最后一个
代表所有权限

这里授权的意思就是admin实例的全部主体拥有HADOOP.COM领域的所有权限

创建kerberos数据库

在服务端对数据库进行初始化,默认的数据库路径为:/var/kerberos/krb5kdc;需要设置初始化密码;

shell 复制代码
kdb5_util create -r HADOOP.COM -s

说明:

-r:指定一个realm_name,当krb5.conf配置多个realm时使用;

-s:表示生成 stash file ,并在其中存储master server key(krb5kdc);

创建成功后在/var/kerberos/krb5kdc可以看到生成的相关principal文件:

启动kerberos

启动服务命令
shell 复制代码
systemctl start krb5kdc
systemctl start kadmin

服务对应的日志文件:

/var/log/krb5kdc.log

/var/log/kadmind.log

设置开机自启
shell 复制代码
systemctl enable krb5kdc
systemctl enable kadmin

kerberos操作

创建管理员

shell 复制代码
kadmin.local -q "addprinc admin/admin"

kadmin.local需在server端即KDC所在服务器执行

也可以在server端执行kadmin.local命令先登陆kerberos数据库,下图是支持的操作:

其它操作

创建用户
shell 复制代码
kadmin.local -q "addprinc test"
为新用户生成keytab文件
shell 复制代码
kadmin.local -q "xst -norandkey -k etc/test.keytab test"
# 或
kadmin.local -q "ktadd -norandkey -k /etc/test.keytab test"

[-norandkey] 表示创建keytab时,principal的密码不发生改变。如果不使用该参数,直接ktadd -k则会修改principal的密码。

查看keytab文件
shell 复制代码
klist -kte /etc/test.keytab
认证用户
shell 复制代码
kinit -kt /etc/test.keytab test
# 或者
kinit test
查看认证缓存(当前认证的用户)
shell 复制代码
klist -e

[-e] 查看当前kerberos账号的加密方式

退出当前认证的用户
shell 复制代码
kdestroy
查看所有principal主体
shell 复制代码
kadmin.local -q "list_principals"

也可以用kadmin然后输入admin管理员密码,然后list_principals

删除principal主体
shell 复制代码
kadmin.local -q "delete_principal test"
相关推荐
PersistJiao1 小时前
在 Spark RDD 中,sortBy 和 top 算子的各自适用场景
大数据·spark·top·sortby
2301_811274311 小时前
大数据基于Spring Boot的化妆品推荐系统的设计与实现
大数据·spring boot·后端
Yz98761 小时前
hive的存储格式
大数据·数据库·数据仓库·hive·hadoop·数据库开发
青云交1 小时前
大数据新视界 -- 大数据大厂之 Hive 数据导入:多源数据集成的策略与实战(上)(3/ 30)
大数据·数据清洗·电商数据·数据整合·hive 数据导入·多源数据·影视娱乐数据
武子康1 小时前
大数据-230 离线数仓 - ODS层的构建 Hive处理 UDF 与 SerDe 处理 与 当前总结
java·大数据·数据仓库·hive·hadoop·sql·hdfs
武子康1 小时前
大数据-231 离线数仓 - DWS 层、ADS 层的创建 Hive 执行脚本
java·大数据·数据仓库·hive·hadoop·mysql
时差9532 小时前
Flink Standalone集群模式安装部署
大数据·分布式·flink·部署
锵锵锵锵~蒋2 小时前
实时数据开发 | 怎么通俗理解Flink容错机制,提到的checkpoint、barrier、Savepoint、sink都是什么
大数据·数据仓库·flink·实时数据开发
二进制_博客2 小时前
Flink学习连载文章4-flink中的各种转换操作
大数据·学习·flink
大数据编程之光2 小时前
Flink入门介绍
大数据·flink