Kerberos安装使用

1、安装

方式一：【手动编译安装】

# 1. 下载界面
https://web.mit.edu/kerberos/dist/index.html

# 2. 选择下载版本，如：1.17
https://web.mit.edu/kerberos/dist/krb5/1.17/krb5-1.17.tar.gz

# 3. 解压
tar zxvf krb5-1.17.tar.gz

# 3. 编译
cd krb5-1.17/src 
./configure 
make 
make install

方式二：【直接安装】

yum install krb5\* -y
# or
yum install krb5-server krb5-libs krb5-auth-dialog

2、/etc/krb5.conf 配置文件

# cat /etc/krb5.conf

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = EXAMPLE.COM
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 EXAMPLE.COM = {
  kdc = kerberos.example.com
  admin_server = kerberos.example.com
 }

[domain_realm]
example.com = EXAMPLE.COM
.example.com = EXAMPLE.COM

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

• [logging]中的是指定日志的位置。
• [libdefaults]：每种连接的默认配置
  • default_realm：默认的 realm，必须跟要配置的 realm 的名称一致
  • ticket_lifetime：表明凭证生效的时限，一般为 24 小时
  • renew_lifetime：表明凭证最长可以被延期的时限，一般为 7 天。当凭证过期之后，对安全认证的服务的后续访问则会失败
• [realms]：列举使用的 realm
  • kdc：代表安装 kdc server 的机器。格式是主机名或主机IP
  • admin_server：代表安装 admin server 的机器。格式是主机名或主机IP
  • EXAMPLE.COM：设定的 realm。名字可任意取，但大小写敏感，一般为了识别使用都全部大写。这个 realm 跟机器的 hostname 没什么关系。
• [kdc]的位置。

3、 kdc.conf 配置文件

# 一般的默认地址
# cat /var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 EXAMPLE.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal
  arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }

• EXAMPLE.COM：设定的 realm
• master_key_type：和 supported_enctypes 默认使用 aes256-cts
• acl_file：标注文件路径，用于设置 principal 的权限，需要用户自己创建。文件格式：Kerberos_principal_permissions [target_principal] [restrictions]
• admin_keytab：KDC 进行校验的 keytab
• supported_enctypes：支持的校验方式

4、kadm5.acl 配置文件

# 一般默认地址
# more /var/kerberos/krb5kdc/kadm5.acl

*/[email protected]    *

文件格式：principal permissions [target_principal] [restrictions]

5、创建 Kerberos 数据库

/usr/sbin/kdb5_util create -s -r EXAMPLE.COM
# 注：执行上面的命令，会提示输入密码

• -s 表示生成缓存文件，并在其中存储 master server key（krb5kdc）
• -r 是指定一个 krb5.conf 文件中存在的 realm

这个命令用来生成 Kerberos 的本地数据库，包括几个文件：principal、principal.OK、principal.kadm5 和 principal.kadm5.lock，并且创建 krb5kdc/principal 保存数据库文件

6、创建账户

输入 kadmin.local 或 kadmin -p [用户名]/[密码]，这是一个管理整个 Kerberos 的命令符，如下图所示：

• 查看用户

listprincs

• 添加用户

addprinc admin/[email protected]

• 退出命令

exit

7、启动 KDC 服务器和 KDC 管理服务器，并使其开机自启动

service krb5kdc start
service kadmind start

chkconfig krb5kdc on
chkconfig kadmin on

本文由博客一文多发平台 OpenWrite 发布！