kerberos安装配置与使用

版权声明：本文为博主九师兄（QQ群:spark源代码 198279782 欢迎来探讨技术）原创文章，未经博主允许不得转载。 https://blog.csdn.net/qq_21383435/article/details/83625252

1.Kerberos协议：

Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务，即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥，使得该协议具有相当的安全性
2.1. 环境配置

2.安装

2.1 安装kerberos前，要确保主机名可以被解析。

主机名     内网IP        角色
cdh-server2   192.168.60.19   master KDC
cdh-server1   192.168.60.20   kerberos client
cdh-server3   192.168.60.21   kerberos client

2.2 确保环境可用

确保所有的clients与servers之间的时间同步以及DNS正确解析

2.3 KDC的主机

选择一个主机来运行KDC，并在该主机上安装krb-5libs,krb5-server,已经krb5-workstation:

[root@cdh-server2 /]# yum install krb5-server krb5-libs krb5-auth-dialog

KDC的主机必须非常自身安全，一般该主机只运行KDC程序。本文中我们选择cdh-server2作为运行KDC的主机。
在安装完上述的软件之后，会在KDC主机上生成配置文件
/etc/krb5.conf和/var/kerberos/krb5kdc/kdc.conf，它们分别反映了realm name 以及 domain-to-realm mappings。

[root@cdh-server2 /]# ll /etc/krb5.conf
-rw-r--r-- 1 root root 709 Jul 21 20:45 /etc/krb5.conf
[root@cdh-server2 /]# ll /var/kerberos/krb5kdc/
total 8
-rw------- 1 root root  22 Apr 11  2018 kadm5.acl
-rw------- 1 root root 451 Apr 11  2018 kdc.conf
[root@cdh-server2 /]#

2.3.2 配置kdc.conf

默认放在 /var/kerberos/krb5kdc/kdc.conf。或者通过覆盖KRB5_KDC_PROFILE环境变量修改配置文件位置。

[root@cdh-server2 /]# vi /var/kerberos/krb5kdc/kdc.conf
[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 YONG.COM = {
  # master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes =  aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
  max_renewable_life = 7d
 }

说明：

1. YONG.COM:是设定的realms。名字随意。Kerberos可以支持多个realms，会增加复杂度。本文不探讨。大小写敏感，一般为了识别使用全部大写。这个realms跟机器的host没有大关系。
2. max_renewable_life = 7d 涉及到是否能进行ticket的renwe必须配置。
3. master_key_type:和supported_enctypes默认使用aes256-cts。由于，JAVA使用aes256-cts验证方式需要安装额外的jar包。推荐不使用。
4. acl_file:标注了admin的用户权限。文件格式是
   Kerberos_principal permissions [target_principal] [restrictions]支持通配符等。
5. admin_keytab:KDC进行校验的keytab。后文会提及如何创建。
6. supported_enctypes:支持的校验方式。注意把aes256-cts去掉。

2.3.3 kadm5.acl

[root@cdh-server2 /]# cat /var/kerberos/krb5kdc/kadm5.acl
*/[email protected]	*
[root@cdh-server2 /]#

2.3.4 配置krb5.conf

/etc/krb5.conf: 包含Kerberos的配置信息。例如，KDC的位置，Kerberos的admin的realms 等。需要所有使用的Kerberos的机器上的配置文件都同步。这里仅列举需要的基本配置。

配置示例：

[root@cdh-server2 /]# vi /etc/krb5.conf
[logging]
default=FILE:/var/log/kerberos/krb5libs.log
kdc = FILE:/var/log/kerberos/krb5kdc.log
admin_server = FILE:/var/log/kerberos/kadmind.log
[libdefaults]
default_realm = YONG.COM
dns_lookup_kdc = false
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
default_tgs_enctypes = aes256-cts aes128-cts des-hmac-sha1 des-cbc-md5 arcfour-hmac camellia256-cts camellia128-cts des-cbc-crc
default_tkt_enctypes = aes256-cts aes128-cts des-hmac-sha1 des-cbc-md5 arcfour-hmac camellia256-cts camellia128-cts des-cbc-crc
permitted_enctypes = aes256-cts aes128-cts des-hmac-sha1 des-cbc-md5 arcfour-hmac camellia256-cts camellia128-cts des-cbc-crc
# udp_preference_limit = 1
kdc_timeout = 3000
[realms]
YONG.COM = {
kdc = cdh-server2
admin_server = cdh-server2
default_domain = YONG.COM
}
[domain_realm]
YONG.COM = YONG.COM

说明：

1. [logging]：表示server端的日志的打印位置
2. [libdefaults]：每种连接的默认配置，需要注意以下几个关键的小配置
3. default_realm = YONG.COM 默认的realm，必须跟要配置的realm的名称一致。
4. udp_preference_limit = 1 禁止使用udp可以防止一个YONG中的错误
5. oticket_lifetime表明凭证生效的时限，一般为24小时。
6. orenew_lifetime表明凭证最长可以被延期的时限，一般为一个礼拜。当凭证过期之后，
   对安全认证的服务的后续访问则会失败。
7. kdc：代表要kdc的位置。格式是 机器:端口
8. admin_server:代表admin的位置。格式是机器:端口
9. default_domain：代表默认的域名

2.3.5 创建/初始化Kerberos database

初始化并启动：完成上面两个配置文件后，就可以进行初始化并启动了。

[root@cdh-server2 /]# mkdir /var/log/kerberos
[root@cdh-server2 /]# /usr/sbin/kdb5_util create -s -r YONG.COM
Loading random data
Initializing database '/var/kerberos/krb5kdc/principal' for realm 'YONG.COM',
master key name 'K/[email protected]'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key:admin
Re-enter KDC database master key to verify:admin
[root@cdh-server2 /]#

其中：
[-s]表示生成stash file，并在其中存储master server key（krb5kdc）；
[-r]来指定一个realm name —— 当krb5.conf中定义了多个realm时才是必要的。

保存路径为/var/kerberos/krb5kdc 如果需要重建数据库，将该目录下的principal相关的文件删除即可

在此过程中，我们会输入database的管理密码。这里设置的密码一定要记住，如果忘记了，就无法管理Kerberos server。

当Kerberos database创建好后，可以看到目录 /var/kerberos/krb5kdc 下生成了几个文件：

[root@cdh-server2 /]# ll /var/kerberos/krb5kdc/
total 24
-rw------- 1 root root   19 Nov  1 19:08 kadm5.acl
-rw------- 1 root root  458 Nov  1 19:03 kdc.conf
-rw------- 1 root root 8192 Nov  1 19:23 principal
-rw------- 1 root root 8192 Nov  1 19:23 principal.kadm5
-rw------- 1 root root    0 Nov  1 19:23 principal.kadm5.lock
-rw------- 1 root root    0 Nov  1 19:23 principal.ok
[root@cdh-server2 /]#

2.3.6 添加database administrator

我们需要为Kerberos database添加administrative principals (即能够管理database的principals) —— 至少要添加1个principal来使得Kerberos的管理进程kadmind能够在网络上与程序kadmin进行通讯。

在maste KDC上执行：这一步是添加一个principle，注意下面要用

[root@cdh-server2 /]# /usr/sbin/kadmin.local -q "addprinc admin/admin"
Authenticating as principal root/[email protected] with password.
WARNING: no policy specified for admin/[email protected]; defaulting to no policy
Enter password for principal "admin/[email protected]": admin
Re-enter password for principal "admin/[email protected]":admin
Principal "admin/[email protected]" created.
[root@cdh-server2 /]#

并为其设置密码。

[root@cdh-server2 /]# kadmin.local
Authenticating as principal root/[email protected] with password.
kadmin.local:  listprincs
K/[email protected]
admin/[email protected]
kadmin/[email protected]
kadmin/[email protected]
kadmin/[email protected]
kiprop/[email protected]
krbtgt/[email protected]
kadmin.local:

可以直接运行在master KDC上，而不需要首先通过Kerberos的认证，实际上它只需要对本
地文件的读写权限。

2.3.7 为database administrator设置ACL权限

在KDC上我们需要编辑acl文件来设置权限，该acl文件的默认路径是 /var/kerberos/krb5kdc/kadm5.acl（也可以在文件kdc.conf中修改）。Kerberos的kadmind daemon会使用该文件来管理对Kerberos database的访问权限。对于那些可能会对pincipal产生影响的操作，acl文件也能控制哪些principal能操作哪些其他pricipals。

我们现在为administrator设置权限：将文件/var/kerberos/krb5kdc/kadm5.acl的内容编辑为

[root@cdh-server2 /]# cat /var/kerberos/krb5kdc/kadm5.acl
*/[email protected]	*
[root@cdh-server2 /]#

代表名称匹配*/[email protected] 都认为是admin，权限是*代表全部权限。

2.3.8 在master KDC启动Kerberos daemons

手动启动：

[root@cdh-server2 /]# service krb5kdc start
Redirecting to /bin/systemctl start krb5kdc.service
[root@cdh-server2 /]# service kadmin start
Redirecting to /bin/systemctl start kadmin.service
[root@cdh-server2 /]# service krb5kdc status
Redirecting to /bin/systemctl status krb5kdc.service
● krb5kdc.service - Kerberos 5 KDC
   Loaded: loaded (/usr/lib/systemd/system/krb5kdc.service; disabled; vendor preset: disabled)
   Active: active (running) since Thu 2018-11-01 19:33:07 CST; 18s ago
  Process: 5643 ExecStart=/usr/sbin/krb5kdc -P /var/run/krb5kdc.pid $KRB5KDC_ARGS (code=exited, status=0/SUCCESS)
 Main PID: 5644 (krb5kdc)
   CGroup: /system.slice/krb5kdc.service
           └─5644 /usr/sbin/krb5kdc -P /var/run/krb5kdc.pid

Nov 01 19:33:07 cdh-server2 systemd[1]: Starting Kerberos 5 KDC...
Nov 01 19:33:07 cdh-server2 systemd[1]: Started Kerberos 5 KDC.
[root@cdh-server2 /]# service kadmin status
Redirecting to /bin/systemctl status kadmin.service
● kadmin.service - Kerberos 5 Password-changing and Administration
   Loaded: loaded (/usr/lib/systemd/system/kadmin.service; disabled; vendor preset: disabled)
   Active: active (running) since Thu 2018-11-01 19:33:17 CST; 15s ago
  Process: 5665 ExecStart=/usr/sbin/_kadmind -P /var/run/kadmind.pid $KADMIND_ARGS (code=exited, status=0/SUCCESS)
 Main PID: 5666 (kadmind)
   CGroup: /system.slice/kadmin.service
           └─5666 /usr/sbin/kadmind -P /var/run/kadmind.pid

Nov 01 19:33:17 cdh-server2 systemd[1]: Starting Kerberos 5 Password-changing and Administration...
Nov 01 19:33:17 cdh-server2 systemd[1]: Started Kerberos 5 Password-changing and Administration.
[root@cdh-server2 /]#

设置开机自动启动：

[root@cdh-server2 /]# chkconfig krb5kdc on
[root@cdh-server2 /]# chkconfig kadmin on

现在KDC已经在工作了。这两个daemons将会在后台运行，可以查看它们的日志文件，上面配置的有。

2.3.9 测试

可以通过命令kinit来检查这两个daemons是否正常工作。

登录 
[root@cdh-server2 /]# kinit admin/admin
Password for admin/[email protected]:admin

查询登录状态
[root@cdh-server2 /]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: admin/[email protected]

Valid starting     Expires            Service principal
11/01/18 20:34:45  11/02/18 20:34:45  krbtgt/[email protected]
	renew until 11/08/18 20:34:45

退出
[root@cdh-server2 /]# kdestroy
[root@cdh-server2 /]# klist
klist: No credentials cache found (filename: /tmp/krb5cc_0)
[root@cdh-server2 /]#

可以看到服务器是成功的。

2.4 配置 Kerberos Clients

2.4.1 安装

Installing Kerberos Client(CentOS7可以省略此步骤)

在另外两台主机上安装kerberos客户端。

yum install krb5-workstation krb5-libs krb5-auth-dialog
[root@cdh-server1 ~]# yum install krb5-devel krb5-workstation -y
[root@cdh-server2 ~]# yum install krb5-devel krb5-workstation -y
[root@cdh-server3 ~]# yum install krb5-devel krb5-workstation -y

[root@cdh-server2 ~]# scp /etc/krb5.conf cdh-server1:/etc/krb5.conf
krb5.conf                                                                                                                                                                                                                              100%  872     1.9MB/s   00:00
[root@cdh-server2 ~]# scp /etc/krb5.conf cdh-server3:/etc/krb5.conf
krb5.conf                                                                                                                                                                                                                              100%  872     1.3MB/s   00:00
[root@cdh-server2 ~]#

2.4.1 配置krb5.conf

配置这些主机上的/etc/krb5.conf，这个文件的内容与KDC中的文件保持一致即可

命令总结

/ 代表或者

命令	格式	案例
进入kadmin		kadmin.local/kadmin
创建数据库		kdb5_util create -r JENKIN.COM -s
启动kdc服务		service krb5kdc start
启动kadmin服务		service kadmin start
修改当前密码		kpasswd
测试keytab可用性		kinit -k -t /var/kerberos/krb5kdc/keytab/root.keytab root/[email protected]
查看keytab		klist -e -k -t /etc/krb5.keytab
清除缓存		kdestroy
通过keytab文件认证登录		kinit -kt /var/run/cloudera-scm-agent/process/***-HIVESERVER2/hive.keytab hive/node2

kadmin模式下：

命令	格式	案例
生成随机key的principal		addprinc -randkey root/[email protected]
生成指定key的principal		Addprinc -pw **** admin/[email protected]
查看principal		listprincs
修改admin/admin的密码		cpw -pw xxxx admin/admin
添加/删除principle		addprinc/delprinc admin/admin
直接生成到keytab		ktadd -k /etc/krb5.keytab host/[email protected]
设置密码策略(policy)		addpol -maxlife “90 days” -minlife “75 days” -minlength 8 -minclasses 3 -maxfailure 10 -history 10 user
添加带有密码策略的用户		addprinc -policy user hello/[email protected]
修改用户的密码策略		modprinc -policy user1 hello/[email protected]
删除密码策略		delpol [-force] user
修改密码策略		modpol -maxlife “90 days” -minlife “75 days” -minlength 8 -minclasses 3 -maxfailure 10 user