千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 互联网科技 >

Kerberos安装&使用

发表于:2025-02-02 作者:千家信息网编辑
千家信息网最后更新 2025年02月02日,Hadoop自身是没有安全认证的,所以需要引入第三方的安全认证机制。kerberos是hadoop比较受欢迎的一种认证方式。kerberos配置比较简单。但是实际使用的时候,如果不严格遵守游戏规则。你
千家信息网最后更新 2025年02月02日Kerberos安装&使用

Hadoop自身是没有安全认证的,所以需要引入第三方的安全认证机制。kerberos是hadoop比较受欢迎的一种认证方式。kerberos配置比较简单。但是实际使用的时候,如果不严格遵守游戏规则。你会经常遇到"奇怪"的问题。


1. 安装kerberos的软件包

yum install krb5*vi /etc/krb5.conf

2. 修改kerberos的配置文件

# more /etc/krb5.conf [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log[libdefaults] default_realm = LIANG.COM dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 2d forwardable = false[realms] LIANG.COM = {  kdc = c6701  admin_server = c6701  default_domain = liang.com  key_stash_file = /var/kerberos/krb5kdc/.k5.LIANG.COM  dict_file = /usr/share/dict/words }[domain_realm] .liang.com = LIANG.COM liang.com = LIANG.COM

3. 修改kdc配置文件

cat /var/kerberos/krb5kdc/kdc.conf[kdcdefaults] kdc_ports = 88 kdc_tcp_ports = 88[realms] LIANG.COM = {  kadmind_port = 749  master_key_type = aes256-cts-hmac-sha1-96  acl_file = /var/kerberos/krb5kdc/kadm5.acl  dict_file = /usr/share/dict/words  supported_enctypes = des3-cbc-sha1:normal  max_life = 24h 0m 0s  max_renewable_life = 7d 0h 0m 0s  dict_file = /usr/share/dict/words  key_stash_file = /var/kerberos/krb5kdc/.k5.LIANG.COM  database_name = /var/kerberos/krb5kdc/principal }

执行命令创建kdc数据库

kdb5_util create -s -r HADOOP.LIANG.COM

4. 给数据库管理员添加ACL权限,修改kadm5.acl文件,*代表全部权限

# cat /var/kerberos/krb5kdc/kadm5.acl*/admin@ESGYN.COM   *

5. 启动服务

# service krb5kdc start# service kadmin start# service krb5kdc status# service kadmin status# chkconfig krb5kdc on# chkconfig kadmin on

6. 补充:在每个客户端的系统参数/etc/profile中,加上下面参数,确保每次su - user都能使用同一个tgt,而不是创建一个新的,而找不到,最终导致su的用户kinit失败

# workaround for kerberos logingexport KRB5CCNAME=FILE:/tmp/krb5cc_`id -u`

7. 创建principal

kadmin.local -q "addprinc -pw  "

针对hadoop用户,增加主机名,一同创建principal,增加安全性。

注意:hadoop只能通过小写的主机名进行注册。如果主机名有大写字母,手动改成小写。后续kinit的时候,也是使用小写的。hadoop会自动将大写的主机名变成小写。

kadmin.local -q "addprinc -pw  hdfs/"

8. 创建keytab

kadmin.local -q "ktadd -norandkey -k /root/keytab/.keytab "

9. 注册

kinit -kt /root/keytab/hdfs.keytab

针对hadoop用户,增加主机名,一同创建principal,增加安全性。

kinit -kt /root/keytab/hdfs.keytab hdfs/`hostname`

10. 查询当前用户的kinit情况

$ klistTicket cache: FILE:/tmp/krb5cc_1098Default principal: hdfs/hdfs1.liang.com@LIANG.COMValid starting     Expires            Service principal03/26/18 17:19:04  03/27/18 17:19:04  krbtgt/LIANG.COM@LIANG.COM        renew until 04/02/18 17:19:04

11. 查询keytab文件内容

$ klist -kt /etc/security/keytab/hdfs.keytab Keytab name: FILE:/root/keytab/hdfs.keytabKVNO Timestamp         Principal---- ----------------- --------------------------------------------------------   1 04/07/17 16:16:04 hdfs/hdfs1.liang.com@LIANG.COM   1 04/07/17 16:16:04 hdfs/hdfs2.liang.com@LIANG.COM   1 04/07/17 16:16:05 hdfs/hdfs3.liang.com@LIANG.COM

12. 查询KDC,用户列表

kadmin.local -q "listprincs"

13. 删除用户

kadmin.local -q "delprinc -force HTTP/hdfs3.liang.com@LIANG.COM"

14. 修改密码

kpasswd 用户名


很赞哦!
用户 主机 安全 小写 文件 查询 认证 配置 参数 大写 安全性 安全认证 数据 数据库 时候 权限 代表 内容 命令 大写字母 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 数据库都需要维护吗 软件开发能否申请专利 学校网络安全教育专题讲座 2016安全生产事故数据库 测试远程数据库是否链接上 网络安全一级违规违约金 网络技术基础名词 经济管理学最常用数据库 网络安全问题整顿 杨浦区网络技术服务咨询哪个好 做软件开发pc端还是手机 使用CNKI数据库有哪些 关于网络安全教育日 软件开发学java吗 服务器被某个扩展程序屏蔽 编程教育和软件开发 全国金融基础数据库 华为服务器光遇 闵行区正规软件开发销售价格 网络安全领域发展前景 软件开发师的形象 哈密ibm服务器维保费用 使用云享汇聚网络安全吗 湘阴游戏软件开发 数据库db和mdb的区别 虽然网络技术的发展 分布式网络技术的优点 ssl服务器可能需要更新 网络安全意识不强的法律规定 多功能软件开发技术指导

相关文章

0