kerberos

参考:

官网:

https://web.mit.edu/kerberos

部署:

https://blog.csdn.net/weixin_38655836/article/details/91587323   GG

https://www.cnblogs.com/yinzhengjie/p/10765503.html      (上)

https://www.cnblogs.com/yinzhengjie/articles/10483362.html  (下)

高可用:

https://www.cnblogs.com/yinzhengjie/articles/10484790.html

Kerberos的发布页面：https://kerberos.org/dist/index.html

Kerberos的官方文档：http://web.mit.edu/kerberos/krb5-1.17/doc/index.html
Oracle相关的Kerberos文档：https://docs.oracle.com/cd/E26926_01/html/E25889/intro-1.html#scrolltoc

CDH中kerberos概述:

https://docs.cloudera.com/documentation/enterprise/6/6.2/topics/sg_auth_overview.html

为CDH启用Kerberos身份验证:

https://docs.cloudera.com/documentation/enterprise/6/6.2/topics/cm_sg_intro_kerb.html

 https://docs.cloudera.com/documentation/enterprise/6/6.2/topics/cm_sg_using_cm_sec_config.html#integrate-kerberos-auth-manually

ldap和kerberos整合:
https://blog.csdn.net/ZhouyuanLinli/article/details/78323331

kerberos:

安装:
yum -y install krb5-server krb5-libs krb5-auth-dialog krb5-workstation
修改KDC的配置文件:
vim /var/kerberos/krb5kdc/kdc.conf
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88

[realms]
OPAYTEST.COM = {
master_key_type = aes256-cts
acl_file = /var/kerberos/krb5kdc/kadm5.acl
dict_file = /usr/share/dict/words
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
supported_enctypes = aes256-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
}
以上参数说明:
[kdcdefaults]
　 该部分包含在此文件中列出的所有通用的配置。
kdc_ports　　　　　　　　　　 :指定KDC的默认端口。
kdc_tcp_ports　　　　　　　 　 :指定KDC的TCP协议默认端口。

[realms]
　　该部分列出每个领域的配置。
YINZHENGJIE.COM 　　 ： 是设定的 realms。名字随意，推荐为大写！，但须与/etc/krb5.conf保持一致。Kerberos 可以支持多个 realms，会增加复杂度。大小写敏感。
master_key_type　 　 ： 默认为禁用，但如果需要256为加密，则可以下载Java加密扩展（JCE）并安装。禁用此参数时，默认使用128位加密。
　　acl_file　　　　 　　 ： 标注了 admin 的用户权限的文件，若文件不存在，需要用户自己创建。即该参数允许为具有对Kerberos数据库的管理访问权限的UPN指定ACL。
supported_enctypes　　 ： 指定此KDC支持的各种加密类型。
　admin_keytab　　　　 　： KDC 进行校验的 keytab。
max_life　 　　　　　　 : 该参数指定如果指定为2天。这是票据的最长存活时间。
　　max_renewable_life　　 : 该参数指定在多长时间内可重获取票据。
dict_file　　　 　　　　 : 该参数指向包含潜在可猜测或可破解密码的文件。

配置KDC服务的权限管理文件:
#我们指定*/admin@OPAYTEST.COM用户为管理员用户！拥有全部权限，注意这个通配符“*”,你懂的。
vim /var/kerberos/krb5kdc/kadm5.acl 　　　　
*/admin@OPAYTEST.COM *

以上参数说明：
上述参数只有两列，第一列为用户名，第二列为权限分配。
文件格式是：Kerberos_principal permissions [target_principal] [restrictions]，下面是对上面的文件编写参数说明。
*/admin@OPAYTEST.COM :表示以"/admin@OPAYTEST.COM"结尾的用户。
*　　　　　　　　　　　　：表示UNP可以执行任何操作，因为权限为所有权限

修改Kerberos的配置文件信息（包含KDC的位置，Kerberos的admin的realms 等。需要所有使用的Kerberos的机器上的配置文件都同步。）
vim /etc/krb5.conf
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
default_realm = OPAYTEST.COM
#default_ccache_name = KEYRING:persistent:%{uid}

[realms]
OPAYTEST.COM = {
kdc = zhep-opay-temp-1.novalocal:88
admin_server = zhep-opay-temp-1.novalocal:749
default_domain = OPAYTEST.COM
}

[domain_realm]
.opaytest.com = OPAYTEST.COM
opaytest.com = OPAYTEST.COM

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

以上相关配置参数说明:
[logging]：
　　Kerberos守护进程的日志记录方式。换句话说，表示 server 端的日志的打印位置
default ：默认的krb5libs.log日志文件存放路径
kdc ：默认的krb5kdc.log日志文件存放路径
admin_server ：默认的kadmind.log日志文件存放路径

[libdefaults]：
　　Kerberos使用的默认值，当进行身份验证而未指定Kerberos域时，则使用default_realm参数指定的Kerberos域。即每种连接的默认配置，需要注意以下几个关键的配置：
dns_lookup_realm ：DNS查找域名，我们可以理解为DNS的正向解析，该功能我没有去验证过，默认禁用。（我猜测该功能和domain_realm配置有关）
ticket_lifetime ：凭证生效的时限，设置为7天。
rdns ：我理解是和dns_lookup_realm相反，即反向解析技术，该功能我也没有去验证过，默认禁用即可。（我猜测该功能和domain_realm配置有关）
pkinit_anchors ：在KDC中配置pkinit的位置，该参数的具体功能我没有做进一步验证。
default_realm = YINZHENGJIE.COM ：设置 Kerberos 应用程序的默认领域。如果您有多个领域，只需向 [realms] 节添加其他的语句。其中YINZHENGJIE.COM可以为任意名字,推荐为大写。必须跟要配置的realm的名称一致。
default_ccache_name： ：顾名思义，默认的缓存名称，不推荐使用该参数。
　　
　　 renew_lifetime ：凭证最长可以被延期的时限，一般为7天。当凭证过期之后，对安全认证的服务的后续访问则会失败。
　　 forwardable ：如果此参数被设置为true，则可以转发票据，这意味着如果具有TGT的用户登陆到远程系统，则KDC可以颁发新的TGT，而不需要用户再次进行身份验证。
　　 renewable ：是否允许票据延迟

[realms]：
　　域特定的信息，例如域的Kerberos服务器的位置。可能有几个，每个域一个。可以为KDC和管理服务器指定一个端口。如果没有配置，则KDC使用端口88，管理服务器使用749。即列举使用的 realm域。
　　kdc ：代表要KDC的位置。格式是 机器:端口
　　admin_server ：代表admin的位置。格式是 机器:端口
default_domain ：顾名思义，指定默认的域名。

[domain_realm]：
　 指定DNS域名和Kerberos域名之间映射关系。指定服务器的FQDN，对应的domain_realm值决定了主机所属的域。
　　
[kdc]：
　　kdc的配置信息。即指定kdc.conf的位置。
　　profile ：kdc的配置文件路径，默认值下若无文件则需要创建。

初始化KDC数据库:
kdb5_util create -r OPAYTEST.COM -s 　　　　
#注意，-s选项指定将数据库的主节点密钥存储在文件中，从而可以在每次启动KDC时自动重新生成主节点密钥。记住主密钥，稍后会使用。
Loading random data
Initializing database '/var/kerberos/krb5kdc/principal' for realm 'OPAYTEST.COM',
master key name 'K/M@OPAY.COM'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key: 　　　opaytest99　　　　　　　　　　　　　　　　　　　
#这里需要输入一个管理KDC服务器的密码！千万别忘记了，忘记的话你就只能重新初始化KDC数据库啦！（如果遇到数据库已经存在的提示，可以把/var/kerberos/krb5kdc/目录下的principal的相关文件都删除掉。默认的数据库名字都是principal。可以使用-d指定数据库名字。）
Re-enter KDC database master key to verify:

ll -a /var/kerberos/krb5kdc/　　　　　　　 #当我们创建Kerberos数据库成功后，默认会在该目录下创建以下5个文件
total 36
drwxr-xr-x 2 root root 4096 May 30 16:26 .
drwxr-xr-x. 4 root root 4096 May 30 16:20 ..
-rw------- 1 root root 80 May 30 16:26 .k5.OPAYTEST.COM #存储文件k5.YINZHENGJIE.COM，它默认是隐藏文件
-rw------- 1 root root 26 May 30 16:25 kadm5.acl　　　　　　　　　　　　　　　　 #定义管理员权限的配置文件
-rw------- 1 root root 422 May 30 16:25 kdc.conf　　　　　　　　　　　　　　　　　#KDC的主配置文件
-rw------- 1 root root 8192 May 30 16:26 principal　　　　　　　　　　　　　　　　 #Kerberos数据库文件
-rw------- 1 root root 8192 May 30 16:26 principal.kadm5　　　　　　　　　　　　　 #Kerberos数据库管理文件
-rw------- 1 root root 0 May 30 16:26 principal.kadm5.lock　　　　　　　　　　　#数据库锁管理文件
-rw------- 1 root root 0 May 30 16:26 principal.ok　　　　　　　　　　　　　　　#Kerberos数据库文件

启动KDC服务器:
systemctl enable krb5kdc
systemctl start krb5kdc
systemctl status krb5kdc
启动Kerberos服务器
systemctl start kadmin

KDC 服务器上创建超级管理员账户
kadmin.local
Authenticating as principal root/admin@OPAYTEST.COM with password.
kadmin.local:
kadmin.local: addprinc root/admin　　　　　　　　
#我们为KDC添加一个管理员用户，关于管理员规则我们以及在"/var/kerberos/krb5kdc/kadm5.acl"中定义的。细心的小伙伴发现，我们写的是"root/admin"，但是创建用户却显示的是"root@admin@OPAYTEST.COM"
WARNING: no policy specified for root/admin@OPAYTEST.COM; defaulting to no policy
Enter password for principal "root/admin@OPAYTEST.COM": opaytest99
Re-enter password for principal "root/admin@OPAYTEST.COM": opaytest99
Principal "root/admin@OPAYTEST.COM" created.
kadmin.local:
kadmin.local: listprincs
K/M@OPAYTEST.COM
kadmin/admin@OPAYTEST.COM
kadmin/changepw@OPAYTEST.COM
kadmin/zhep-opay-temp-1.novalocal@OPAYTEST.COM
kiprop/zhep-opay-temp-1.novalocal@OPAYTEST.COM
krbtgt/OPAYTEST.COM@OPAYTEST.COM
root/admin@OPAYTEST.COM
kadmin.local:
kadmin.local: quit

#为所有节点,包括manager节点安装客户端
yum install -y krb5-libs krb5-workstation
#将服务器端的krb5.conf配置文件拷贝到所有节点的/etc目录下:
/etc/krb5.conf /etc/

客户端配置文件和服务段同步后，进行登陆，验证是否可以成功登陆
klist
klist: No credentials cache found (filename: /tmp/krb5cc_0)

kinit root/admin　　　　　　#我们在当前终端使用root/admin@OPAYTEST.COM用户登陆成功啦！
Password for root/admin@OPAYTEST.COM:
klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: root/admin@OPAYTEST.COM

Valid starting Expires Service principal
04/30/2019 18:29:43 05/01/2019 18:29:43 krbtgt/OPAYTEST.COM@OPAYTEST.COM

在KDC中给Cloudera Manager添加管理员账号
kadmin.local
addprinc cloudera-scm/admin@OPAYTEST.COM

三.Kerberos 一些基本操作命令
参考:https://www.cnblogs.com/yinzhengjie/p/10765503.html
使用kadmin.local命令进入本地管理员模式
kadmin.local
Authenticating as principal root/admin@OPAYTEST.COM with password.
kadmin.local:
kadmin.local: ?　　　　　　#输入“?”可以查看命令列表，如下所示所示。
Available kadmin.local requests:
查看已经存在的凭据
listprincs
创建凭据
addprinc -randkey hdfs/zhep-opay-temp-1.novalocal
删除凭据
delprinc hdfs/zhep-opay-temp-1.novalocal
导出某个用户的keytab证书（使用xst命令或者ktadd命令）
ktadd -k /root/node103.keytab hdfs/node103.yinzhengjie.org.cn
xst -k /root/node103.keytab-v2 hdfs/node103.yinzhengjie.org.cn
linux系统下查看当前客户端认证用户
klist
删除当前的认证的缓存
kdestroy

addprinc -randkey hdfs/zhep-opay-temp-1.novalocal
addprinc -randkey hive/zhep-opay-temp-1.novalocal
addprinc -randkey oozie/zhep-opay-temp-1.novalocal
addprinc -randkey hue/zhep-opay-temp-1.novalocal
addprinc -randkey sentry/zhep-opay-temp-1.novalocal

在CM中启用kerberros服务:

 https://blog.csdn.net/weixin_38655836/article/details/91587323

启用前后凭据的对比:
kadmin.local: listprincs
HTTP/zhep-opay-temp-3.novalocal@OPAYTEST.COM
HTTP/zhep-opay-temp-big-data-1.novalocal@OPAYTEST.COM
K/M@OPAYTEST.COM
cloudera-scm/admin@OPAYTEST.COM
kadmin/admin@OPAYTEST.COM
kadmin/changepw@OPAYTEST.COM
krbtgt/OPAYTEST.COM@OPAYTEST.COM
root/admin@OPAYTEST.COM
kadmin.local: listprincs
HTTP/zhep-opay-temp-1.novalocal@OPAYTEST.COM
HTTP/zhep-opay-temp-2.novalocal@OPAYTEST.COM
HTTP/zhep-opay-temp-3.novalocal@OPAYTEST.COM
HTTP/zhep-opay-temp-4.novalocal@OPAYTEST.COM
HTTP/zhep-opay-temp-big-data-1.novalocal@OPAYTEST.COM
K/M@OPAYTEST.COM
cloudera-scm/admin@OPAYTEST.COM
hdfs/zhep-opay-temp-1.novalocal@OPAYTEST.COM
hdfs/zhep-opay-temp-2.novalocal@OPAYTEST.COM
hdfs/zhep-opay-temp-3.novalocal@OPAYTEST.COM
hdfs/zhep-opay-temp-4.novalocal@OPAYTEST.COM
hdfs/zhep-opay-temp-big-data-1.novalocal@OPAYTEST.COM
hive/zhep-opay-temp-1.novalocal@OPAYTEST.COM
hive/zhep-opay-temp-2.novalocal@OPAYTEST.COM
hive/zhep-opay-temp-3.novalocal@OPAYTEST.COM
hive/zhep-opay-temp-4.novalocal@OPAYTEST.COM
hive/zhep-opay-temp-big-data-1.novalocal@OPAYTEST.COM
httpfs/zhep-opay-temp-1.novalocal@OPAYTEST.COM
hue/zhep-opay-temp-1.novalocal@OPAYTEST.COM
hue/zhep-opay-temp-2.novalocal@OPAYTEST.COM
kadmin/admin@OPAYTEST.COM
kadmin/changepw@OPAYTEST.COM
krbtgt/OPAYTEST.COM@OPAYTEST.COM
mapred/zhep-opay-temp-1.novalocal@OPAYTEST.COM
oozie/zhep-opay-temp-1.novalocal@OPAYTEST.COM
root/admin@OPAYTEST.COM
sentry/zhep-opay-temp-1.novalocal@OPAYTEST.COM
yarn/zhep-opay-temp-1.novalocal@OPAYTEST.COM
yarn/zhep-opay-temp-2.novalocal@OPAYTEST.COM
yarn/zhep-opay-temp-3.novalocal@OPAYTEST.COM
yarn/zhep-opay-temp-4.novalocal@OPAYTEST.COM
yarn/zhep-opay-temp-big-data-1.novalocal@OPAYTEST.COM
zookeeper/zhep-opay-temp-2.novalocal@OPAYTEST.COM
zookeeper/zhep-opay-temp-3.novalocal@OPAYTEST.COM
zookeeper/zhep-opay-temp-4.novalocal@OPAYTEST.COM

踏过的坑:

见笔记--CDH续--日常管理