大数据技术AI
Flink/Spark/Hadoop/数仓,数据分析、面试,源码解读等干货学习资料
105篇原创内容
公众号
1、Kerberos部署
1.1 Kerberos概述
1.1.1 什么是Kerberos
Kerberos是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。
这个词又指麻省理工学院为这个协议开发的一套计算机软件。
软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。
可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。
1.1.2 Kerberos术语
Kerberos中有以下一些概念需要了解:
-
KDC(Key Distribute Center):密钥分发中心,负责存储用户信息,管理发放票据。
-
Realm:Kerberos所管理的一个领域或范围,称之为一个Realm。
-
Rrincipal:Kerberos所管理的一个用户或者一个服务,可以理解为Kerberos中保存的一个账号,其格式通常如下:primary/instance@realm
-
keytab:Kerberos中的用户认证,可通过密码或者密钥文件证明身份,keytab指密钥文件。
-
Principal:Kerberos principal(又称为主体)用于在kerberos加密系统中标记一个唯一的身份。主体可以是用户(如
joe)或服务(如namenode或hive)。 -
根据约定,主体名称分为三个部分:主名称、实例和领域。例如,典型的Kerberos主体可以是
joe/[email protected]。在本实例中: -
joe是主名称。主名称可以是此处所示的用户名或namenode等服务。 -
admin是实例。对于用户主体,实例是可选的;但对于服务主体,实例则是必需的。例如,如果用户joe有时充当系统管理员,则他可以使用joe/admin将其自身与平时的用户身份区分开来。同样,如果joe在两台不同的主机上拥有帐户,则他可以使用两个具有不同实例的主体名称,例如joe/node1.example.com和joe/node2.example.com。请注意,Kerberos 服务会将joe和joe/admin视为两个完全不同的主体。 对于服务主体,实例是全限定主机名。例如,node1.example.com就是这种实例。 -
EXAMPLE.COM是Kerberos领域。
1.1.3 Kerberos认证原理
1.2 Kerberos安装
1.2.1 安装Kerberos相关服务
选择集群中的一台主机(hadoop01)作为Kerberos服务端,安装KDC,所有主机都需要部署Kerberos客户端。
服务端主机执行以下安装命令
[root@hadoop01 ~]# yum install -y krb5-server
客户端主机执行以下安装命令
[root@hadoop01 ~]# yum install -y krb5-workstation krb5-libs
[root@hadoop02 ~]# yum install -y krb5-workstation krb5-libs
[root@hadoop03 ~]# yum install -y krb5-workstation krb5-libs
1.2.2 修改配置文件
- 服务端主机(hadoop01)
修改/var/kerberos/krb5kdc/kdc.conf文件,内容如下
[root@hadoop01 ~]# vim /var/kerberos/krb5kdc/kdc.conf
修改如下内容
[root@hadoop01 ~]# vim /var/kerberos/krb5kdc/kdc.conf
修改如下内容
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
[realms]
EXAMPLE.COM = {
#master_key_type = aes256-cts
acl_file = /var/kerberos/krb5kdc/kadm5.acl
dict_file = /usr/share/dict/words
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
}
- 客户端主机(所有主机)
修改/etc/krb5.conf文件
[root@hadoop01 ~]# vim /etc/krb5.conf
[root@hadoop02 ~]# vim /etc/krb5.conf
[root@hadoop03 ~]# vim /etc/krb5.conf
内容如下
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
default_realm = EXAMPLE.COM
#default_ccache_name = KEYRING:persistent:%{uid}
[realms]
EXAMPLE.COM = {
kdc = hadoop01
admin_server = hadoop01
}
[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
1.2.3 初始化KDC数据库
在服务端主机(hadoop01)执行以下命令,并根据提示输入密码。
[root@hadoop01 ~]# kdb5_util create -s
1.2.4 修改管理员权限配置文件
在服务端主机(hadoop01)修改/var/kerberos/krb5kdc/kadm5.acl文件,内容如下
*/[email protected]
1.2.5 启动Kerberos相关服务
在主节点(hadoop01)启动KDC,并配置开机自启
[root@hadoop01 ~]# systemctl start krb5kdc
[root@hadoop01 ~]# systemctl enable krb5kdc
在主节点(hadoop01)启动Kadmin,该服务为KDC数据库访问入口
[root@hadoop01 ~]# systemctl start kadmin
[root@hadoop01 ~]# systemctl enable kadmin
1.2.6 创建Kerberos管理员用户
在KDC所在主机(hadoop01),执行以下命令,并按照提示输入密码
[root@hadoop01 ~]# kadmin.local -q "addprinc admin/admin"
1.3 Kerberos使用概述
1.3.1 Kerberos数据库操作
- 登录数据库
1)本地登录(无需认证)
[root@hadoop01 ~]# kadmin.local
Authenticating as principal root/[email protected] with password.
kadmin.local:
2)远程登录(需进行主体认证,认证操作见下文)
[root@hadoop01 ~]# kadmin
Authenticating as principal admin/[email protected] with password.
Password for admin/[email protected]:
kadmin:
退出输入:exit
- 创建Kerberos主体
登录数据库,输入以下命令,并按照提示输入密码
kadmin.local: addprinc test
也可通过以下shell命令直接创建主体
[root@hadoop01 ~]# kadmin.local -q "addprinc test"
- 修改主体密码
kadmin.local :cpw test
- 查看所有主体
kadmin.local: list_principals
K/[email protected]
admin/[email protected]
kadmin/[email protected]
kadmin/[email protected]
kadmin/[email protected]
kiprop/[email protected]
krbtgt/[email protected]
- 删除
delprinc test
1.3.2 Kerberos认证操作
- 密码认证
1)使用kinit进行主体认证,并按照提示输入密码
[root@hadoop01 ~]# kinit test
Password for [email protected]:
2)查看认证凭证
[root@hadoop01 ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: [email protected]
Valid starting Expires Service principal
10/27/2019 18:23:57 10/28/2019 18:23:57 krbtgt/[email protected]
renew until 11/03/2019 18:23:57
- 密钥文件认证
1)生成主体test的keytab文件到指定目录/root/test.keytab
[root@hadoop01 ~]# kadmin.local -q "xst -norandkey -k /root/test.keytab [email protected]"
注:-norandkey的作用是声明不随机生成密码,若不加该参数,会导致之前的密码失效。
2)使用keytab进行认证
[root@hadoop01 ~]# kinit -kt /root/test.keytab test
3)查看认证凭证
[root@hadoop01 ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: [email protected]
Valid starting Expires Service principal
08/27/19 15:41:28 08/28/19 15:41:28 krbtgt/[email protected]
renew until 08/27/19 15:41:28
- 销毁凭证
[root@hadoop01 ~]# kdestroy
[root@hadoop01 ~]# klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)
