Kerberos安装教程及使用详解资源-CSDN下载

12 浏览量 2021-01-10 07:24:02 上传评论收藏 109KB PDF 举报

资源推荐

资源详情

资源评论

Kerberos安装教程及使用详解安装教程及使用详解

Kerberos协议：协议：

Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获

得的票据(ticket-granting ticket)访问多个服务，即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥，使

得该协议具有相当的安全性。

2. 安装安装 Kerberos

2.1. 环境配置环境配置

　　安装kerberos前，要确保主机名可以被解析。

　　主机名内网IP 角色

Vmw201 172.16.18.201 Master KDC

Vmw202 172.16.18.202 Kerberos client

Vmw203 172.16.18.203 Kerberos client

2.2 Configuring a Kerberos Server

2.2.1 确保环境可用

　　确保所有的clients与servers之间的时间同步以及DNS正确解析

2.2.2 选择一个主机来运行KDC，并在该主机上安装krb-5libs,krb5-server,已经krb5-workstation:

yum install krb5-server krb5-libs krb5-auth-dialog

KDC的主机必须非常自身安全，一般该主机只运行KDC程序。本文中我们选择vmw201作为运行KDC的主机。

在安装完上述的软件之后，会在KDC主机上生成配置文件/etc/krb5.conf和/var/kerberos/krb5kdc/kdc.conf，它们分别反映了

realm name 以及 domain-to-realm mappings。

2.2.3 配置kdc.conf

默认放在 /var/kerberos/krb5kdc/kdc.conf。或者通过覆盖KRB5_KDC_PROFILE环境变量修改配置文件位置。

配置示例：

[kdcdefaults] kdc_ports = 88

kdc_tcp_ports = 88

[realms] HADOOP.COM = {

#master_key_type = aes256-cts

acl_file = /var/kerberos/krb5kdc/kadm5.acl

dict_file = /usr/share/dict/words

admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab

max_renewable_life = 7d

supported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal

}

说明：

HADOOP.COM:是设定的realms。名字随意。Kerberos可以支持多个realms，会增加复杂度。本文不探讨。大小写敏感，一

般为了识别使用全部大写。这个realms跟机器的host没有大关系。

max_renewable_life = 7d 涉及到是否能进行ticket的renwe必须配置。

master_key_type:和supported_enctypes默认使用aes256-cts。由于，JAVA使用aes256-cts验证方式需要安装额外的jar包，

更多参考2.2.9关于AES-256加密：。推荐不使用。

acl_file:标注了admin的用户权限。文件格式是

Kerberos_principal permissions [target_principal] [restrictions]支持通配符等。

admin_keytab:KDC进行校验的keytab。后文会提及如何创建。

supported_enctypes:支持的校验方式。注意把aes256-cts去掉。

2.2.4 配置krb5.conf

/etc/krb5.conf: 包含Kerberos的配置信息。例如，KDC的位置，Kerberos的admin的realms 等。需要所有使用的Kerberos的机

本内容试读结束，登录后可阅读更多

下载后可阅读完整内容，剩余3页未读，立即下载

内容反馈

weixin_38668672

粉丝: 6

最新资源

资源上传下载、课程学习等过程中有任何疑问或建议，欢迎提出宝贵意见哦~我们会及时处理！点击此处反馈

feedback-tip