Kerberos认证原理与环境部署 (realm数据库 全文搜索)

官网:

官方文档:

Kerberos中有以下一些概念需要了解:

用户principal的形式:

其中Instance是可选 的,通常用于更好地限定用户的类型。比如,一个管理员用户通常会有admin instance,即 Name/admin@REALM 。

下面是指代用户的 一些principal的例子:

用户principal的形式:

下面是指代服务principal的例子:

Ticket分两种:

Kerberos认证时序图:

官方文档:

在 hadoop-node1 节点上执行如下命令安装Kerberos Server

其中前一个

号是通配符,表示像名为“abc/admin”或“/admin”的人都可以使用此工具(远程或本地)管理kerberos数据库,后一个

跟权限有关,*表示所有权限。HADOOP.COM是上面配置的realm。

Kerberos kadmind 使用该文件来管理对 Kerberos 数据库的访问权限。对于影响 principa 的操作,ACL 文森雀件还控制哪些 principa 可以对哪些其他 principa 进行操作。文件格式如下:

相关参数说明:

【示例】

kadm5.acl 文件中的以下项授予 HADOOP.COM 领域中包含 admin 实例的任何主体对 Kerberos 数据库的所有权限:

kadm5.acl 文件握春蔽中的以下项 授予 主体添加、列出和查询包含 root 实例的任何主体的权限。

kadm5.acl 文件中的以下项 不授予 主体添加、列出和查询包含 root 实例的任何主体的权限。

详细说明可参考官网文档:

kerberos数据库创建完之后,默认会创建以下5个文件(kdc.conf、kadm5.acl除外的其他几个),Kerberos 数据库的目录为: /var/kerberos/krb5kdc ,如果需要重建数据库,可删除这五个文件重新执行上面的命令创建。

启动:

停止:

Kerberos 服务机器上可以使用 kadmin.local 来执行各种管理的操作。进入 kadmin.local,不需要输入密码:

常用操作:段州

【示例】

在hadoop-node2和hadoop-node3节点上安装client

配置 krb5.conf

测试验证连接server

指定用户

管理KDC数据库有两种方式:

创建用户,注意自己设置的密码

使用xst命令或者ktadd命令:

其中 /root/root.keytab为自己指定的路径与文件名,以.keytab结尾;root/admin为之前创建的凭证用户

查看密钥文件

基于密码认证

基于密钥认证(keytab)

常见的基础操作就到这里了,更多操作命令,可以查看官方文档和查看帮助。后续会分享kerberos认证实战文章,请小伙伴耐心等待~


数据运维技术 » Kerberos认证原理与环境部署 (realm数据库 全文搜索)