Linux 安装Kerberos认证KDC服务

最近需要给hadoop集群加上安全验证,采用kerberos作为认证,这里记录一下安装kerberos kdc的经验

服务器centos6.7,采用在线yum安装的方式

1、使用yum install krb5-libs krb5-server krb5-workstation 进行安装,遇到是/否一律选择是


2、等待安装完成,开始进行配置,首先配置/etc/krb5.conf文件,其中特别要配置的为default_realm,这里为自定义的一个领域(可以理解为域名),注意一定要大写如TEST.COM/TEST,下面花括号外面值和default-realm一样。话括号里为配置kdc和admin的主机名,这里配置为同一台主机即当前主机名,如果kdc有多台的话,也可以配置多个kdc=xxx


3、配置/var/kerberos/krb5kdc/kdc.conf和/var/kerberos/krb5kdc/kadm5.acl文件,其中kadm5.acl表示kadmin管理帐号为*/admin@YOUR_EALM的,即所有带/admin都为可以是管理帐号



4、创建kerberos数据库,

4-1首先创建前看到/var/kerberos/krb5kdc/仅用两个文件

4-2创建数据库,使用命令kdb5_util create -r your_realm -s,注意,在Loading random data这里的时候可能会要比较久的时间

[root@centos0xx ~]# kdb5_util create -r TEST.COM -s
Loading random data
Initializing database '/var/kerberos/krb5kdc/principal' for realm 'TEST.COM',
master key name 'K/M@TEST.COM'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key:
Re-enter KDC database master key to verify:
[root@centos0xx ~]#
5、创建完毕后,在查看/var/kerberos/krb5kdc/下面发现已经多了几个principal相关的文件,其实这些就是kerberos的数据文件。而如果把这个文件删除就相当于把数据库删除需要重建,可以把这些文件mv走然后kadmin.local试试,应该是会报错的,然后再把这些文件mv回来。又可以了

6、创建管理员并输入密码(帐号admin/admin(一定要带xxx/admin) 密码一定要记住)
[root@centos0xx ~]# /usr/sbin/kadmin.local -q "addprinc admin/admin"
Authenticating as principal root/admin@TEST.COM with password.
WARNING: no policy specified for admin/admin@TEST.COM; defaulting to no policy
Enter password for principal "admin/admin@TEST.COM":
Re-enter password for principal "admin/admin@TEST.COM":
Principal "admin/admin@TEST.COM" created.
7、设置kadmin和k5bdkdc服务开机启动(一个kdc的服务一个kadmin管理服务)

8、验证通过admin登录

9、添加一个test帐号并且查看是否进入数据库(通过kadmin.local 然后listprincs查看)

以上已经安装成功,接下来将在cdh hadoop集群上开启kerberos管理、
参考http://web.mit.edu/kerberos/krb5-latest/doc/index.html

你可能感兴趣的:(大数据,Linux,Kerberos)