Kerberos 基本安裝與配置
由於最近環境需要用到Kerberos認證,之前對Kerberos這塊瞭解甚少,今天抽空自己手動安裝一下Kerberos,以此加深對Kerberos的理解。
1 選擇一臺機器執行KDC,安裝Kerberos相關服務
yum install -y krb5-devel krb5-server krb5-workstation2 配置Kerberos,包括krb5.conf和kdc.conf,修改其中的realm,把預設的EXAMPLE.COM修改為自己要定義的值
[[email protected] ~]# cat /etc/krb5.conf [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = TRAFKDC.COM --修改之處 dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true [realms] TRAFKDC.COM = { --修改之處 kdc = namenode01 --修改之處 admin_server = namenode01 --修改之處 } [domain_realm] .TRAFKDC.com = TRAFKDC.COM --修改之處 TRAFKDC.com = TRAFKDC.COM --修改之處 [[email protected] ~]# cat /var/kerberos/krb5kdc/kdc.conf [kdcdefaults] kdc_ports = 88 kdc_tcp_ports = 88 [realms] TRAFKDC.COM = { --修改之處 max_life = 24h --新增 max_renewable_life = 7d --新增 default_principal_flags = +renewable --新增 #master_key_type = aes256-cts acl_file = /var/kerberos/krb5kdc/kadm5.acl dict_file = /usr/share/dict/words admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab supported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal }
3 建立KDC資料庫,其中需要設定管理員密碼,建立完成會在/var/kerberos/krb5kdc/下面生成一系列檔案,若重建資料庫則需先刪除/var/kerberos/krb5kdc下面principal相關檔案
[[email protected] ~]# /usr/sbin/kdb5_util create -s
Loading random data
Initializing database '/var/kerberos/krb5kdc/principal' for realm 'TRAFKDC.COM',
master key name 'K/[email protected]'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key:
Re-enter KDC database master key to verify:
[ 4 給資料庫管理員新增ACL許可權,修改kadm5.acl檔案,*代表全部許可權
[[email protected] ~]# cat /var/kerberos/krb5kdc/kadm5.acl
*/[email protected] *5 新增資料庫管理員,注意kadmin.local可以直接執行在KDC上,而無需通過Kerberos認證
[[email protected] ~]# /usr/sbin/kadmin.local -q "addprinc kdcadmin/admin"
Enter password for principal "kdcadmin/[email protected]":
Re-enter password for principal "kdcadmin/[email protected]":
Principal "kdcadmin/[email protected]" created.
[[email protected] ~]# kadmin.local
Authenticating as principal centos/[email protected] with password.
kadmin.local: listprinc
kadmin.local: Unknown request "listprinc". Type "?" for a request list.
kadmin.local: listprincs
K/[email protected]
kdcadmin/[email protected]
kadmin/[email protected]
kadmin/[email protected]
kadmin/[email protected]
krbtgt/[email protected]6 啟動Kerberos程序並設定開機啟動,通過/var/log/krb5kdc.log 和 /var/log/kadmind.log檢視日誌,通過kinit檢查Kerberos正常執行
service krb5kdc start
service kadmin start
chkconfig krb5kdc on
chkconfig kadmin on[[email protected] UnlimitedJCEPolicyJDK8]# ll
total 16
-rw-rw-r--. 1 root root 3035 Dec 21 2013 local_policy.jar
-rw-r--r--. 1 root root 7323 Dec 21 2013 README.txt
-rw-rw-r--. 1 root root 3023 Dec 21 2013 US_export_policy.jar
[[email protected] security]# cp /home/centos/UnlimitedJCEPolicyJDK8/ /usr/java/jdk1.8.0_11/jre/lib/security/
local_policy.jar README.txt US_export_policy.jar
[[email protected] security]# cp /home/centos/UnlimitedJCEPolicyJDK8/US_export_policy.jar /usr/java/jdk1.8.0_11/jre/lib/security/
cp: overwrite `/usr/java/jdk1.8.0_11/jre/lib/security/US_export_policy.jar'? y8 到此,Kerberos服務端已搭好,現在選擇另外一臺機器安裝客戶端,並配置/etc/krb5.conf與KDC相同
yum install -y krb5-workstation9 驗證客戶端可以訪問KDC
kadmin -p 'kdcadmin/admin' -w '<kdcadmin/admin password>' -s '<kdc server ip>' -q 'list_principals'10 kadmin生成keytab,如果是KDC上面直接執行kadmin.local,如果是在客戶端先kinit再kadmin
(1)KDC
[[email protected] ~]# kadmin.local
Authenticating as principal trafodion/[email protected] with password.
kadmin.local: listprincs
K/[email protected]
kadmin/[email protected]
kadmin/[email protected]
kadmin/[email protected]
krbtgt/[email protected]
[email protected]
kadmin.local: xst -k /opt/trafodion.keytab trafodion
Entry for principal trafodion with kvno 2, encryption type aes128-cts-hmac-sha1-96 added to keytab WRFILE:/opt/trafodion.keytab.
Entry for principal trafodion with kvno 2, encryption type des3-cbc-sha1 added to keytab WRFILE:/opt/trafodion.keytab.
Entry for principal trafodion with kvno 2, encryption type arcfour-hmac added to keytab WRFILE:/opt/trafodion.keytab.
Entry for principal trafodion with kvno 2, encryption type des-hmac-sha1 added to keytab WRFILE:/opt/trafodion.keytab.
Entry for principal trafodion with kvno 2, encryption type des-cbc-md5 added to keytab WRFILE:/opt/trafodion.keytab.
[[email protected] opt]# ll /opt/trafodion.keytab
-rw-------. 1 root root 279 Jan 13 13:05 /opt/trafodion.keytab(2)Client(需先kinit)
[[email protected] ~]# kinit kadmin/admin
Password for kadmin/[email protected]:
[[email protected] ~]# kadmin
Authenticating as principal kadmin/[email protected] with password.
Password for kadmin/[email protected]:
kadmin: addprinc centos
WARNING: no policy specified for [email protected]; defaulting to no policy
Enter password for principal "[email protected]":
Re-enter password for principal "[email protected]":
Principal "[email protected]" created.
kadmin: listprincs
K/[email protected]
[email protected]
kadmin/[email protected]
kadmin/[email protected]
kadmin/[email protected]
krbtgt/[email protected]
[email protected]
11 相關Kerberos命令
//新增principal
kadmin -p 'kdcadmin/admin' -w '<kdc password>' -s '<kdc server>' -q 'addprinc -randkey trafodion'
//生成keytab檔案
ktadd -k /opt/trafodion.keytab trafodion
//認證使用者
kinit -kt /opt/trafodion.keytab trafodion
//檢視當前認證使用者資訊
klist相關推薦
Kerberos 基本安裝與配置
由於最近環境需要用到Kerberos認證,之前對Kerberos這塊瞭解甚少,今天抽空自己手動安裝一下Kerberos,以此加深對Kerberos的理解。 1 選擇一臺機器執行KDC,安裝Kerberos相關服務 yum install -y krb5-devel krb
Redis安裝與配置檔案和啟動方式以及基本知識
下載解壓到自己喜歡的目錄後進入到redis資料夾編譯安裝: 安裝後進入到src目錄看到: redis-server ------------>啟動redis伺服器 redis-cli-------------------->Redis命令客戶端 redi
Kerberos 安裝與配置 (七)
7.1 KDC server的 安裝 1、安裝最新版的KDC server yum install krb5-server krb5-libs krb5-workstation 注:KDC (Key Distribution Ce
3.1 Java以及Lucene的安裝與配置
clas font style edi 面向對象 上進 net ref ips Lucene是Java開發的一套用於全文檢索和搜索的開源程序庫,它面向對象多層封裝,提供了一個低耦合、與平臺無關的、可進行二次開發的全文檢索引擎架構,是這幾年最受歡迎的信息檢索程序庫[1]。對L
Tomcat、mysql在Linux上的安裝與配置
jre -s mkdir acl .html pat etc rac pac 1.下載JDK與Tomcat. jdk下載地址: http://www.oracle.com/technetwork/java/javase/downloads/jdk7-downlo
【Redis】2、CentOS 7 上安裝 redis3.2.3安裝與配置
sync 倉庫 ace /var/ 發現 wan sudo base str 一、redis源碼安裝 【更正】現在最新穩定的版本已經到了3.2.8 截至到2016.8.11,redis最新穩定版本為3.2.3.本篇文章我們就以此版本為基礎,進行相關的講解。 下載redis源
linux應用之vim的安裝與配置(centos)
utf8 power scroll pbo gb2312 nco pla red vma 1.vim的安裝 #yum search vim //查看vim相關軟件信息 #yum install -y vim* //在線安裝vim 2.vim的配置 (1)~/.vimi
LDAP簡介及LDAP服務器的安裝與配置
默認 access 目的 ani pro sta 目錄服務 unit onf 一、LDAP簡介 全稱:Lightweight Directory Access Protocol,目錄服務是一種特殊的數據庫系統,其專門針對讀取。 LDAP目錄中的信息是按照樹型結構組織,具體信
Redis 3.2.8 安裝與配置
blog 裝包 ase dir edi useradd nging 執行文件 make 在本章中,您將了解和學習Redis的環境安裝設置。 一、RedHat 6.0 自定義安裝 1、創建redis用戶 Redis 默認的安裝路徑是/usr/local/redis,並且
Eclipse的安裝與配置
卸載 exe 分享 技術分享 .org src 技術 修改 刪除 1.下載 http://www.eclipse.org/ 2.安裝 解壓後就能使用(解壓目錄不要出現中文) 雙擊解壓後的exe文件,首次啟動會出現 修改工作空間 3.卸載 將文件夾刪除即可 Eclipse
菜鳥運維筆記:安裝與配置Apacheserver
str .cn apach tps 官網 壓縮 ron entos 本地 前幾天在在阿裏花了49.5買了一個月的主機。試著好用再續費吧。 地域:青島可用區:青島可用區ACPU:1核內存:512MB帶寬:1Mbps操作系統:CentOS 6.5 64位雲盾:是
Tomcat 8安裝與配置
tomcat##Tomcat 8官方文檔:http://tomcat.apache.org/tomcat-8.0-doc/setup.html#Tomcat 8 下載地址:http://tomcat.apache.org/download-80.cgi# Tomcat 運行需要JDK的支持#JDK 下載地址:
CentOS6.3上安裝與配置nginx+php+mysql環境
需要 目前 htm evel mem dev gin ins comm 1. 目前nginx采用是源碼包安裝的方式(yum安裝失敗),下載地址:http://nginx.org/en/download.html 我這裏的安裝包是:nginx-1.12.0.tar.gz
resin安裝與配置
resin配置 tomcat jdk javaresin安裝與配置介紹下第二種支持java的軟件resin官網地址:caucho.com有兩個版本,一個免費的一個收費的具體步驟如下:一、下載和配置jdk(1)下載JDK(百度搜JDK官網)http://www.oracle.com/technetw
MySQL的安裝與配置
mysql的安裝 格式 root 初始化 .cn file 文件中 數據 sta MySQL的官方地址:https://www.mysql.com/ 社區最新版本:5.7.18 有兩種下載格式:Installer和Zip兩種 以zip
(一)elasticsearch-5.x安裝與配置
head(一)平臺所需的環境OS:CentOS 7.x minimalelasticsearch :elasticsearch-5.4.0版本jdk: 1.8已上版本創建普通用戶:appuser最新的下載路徑地址為:https://www.elastic.co/downloads (二)配置操作系統的環境並
九、LAMP的安裝與配置
lamp安裝、配置9.1、PHP與httpd的結合工作方式常見PHP開源軟件: 論壇:phpwind、discuz 、phpbb 博客系統:wordpress 門戶站點:drupal、xooms 數據庫:phpMyAdmin、Workbench、MySQL Front、Navicat for MySQ
Linux NFS服務器的安裝與配置
分析 onu 重新啟動 其余 現實 共享目錄 miss ports del 一、NFS服務簡介 NFS 是Network File System的縮寫,即網絡文件系統。一種使用於分散式文件系統的協定,由Sun公司開發,於1984年向外公布。功能是通過網絡讓不同的機器、不
CentOS-7.0.中安裝與配置Tomcat-7的方法
代碼 accept iptables jdk1.7 ews 啟動 state cat 解決方案 轉自:http://www.linuxidc.com/Linux/2015-08/122241.htm 安裝說明 安裝環境:CentOS-7.0.1406安裝方式:源碼安裝
CentOS-7中安裝與配置Tomcat8.5
ane dsc 配置 pub add ted tar.gz 分享 cal 第一步:下載Tomcat8.5,通過地址:http://tomcat.apache.org/download-80.cgi下載 最後得到下載文件 apache-tomcat-8.5.15.tar.g