Kerberos安全认证-连载2-Kerberos安装及使用
目录
1.Kerberos术语
2.Kerberos安装
3.Kerberos使用
3.1 Kadmin 数据库操作
3.1.1 list princs
3.1.2 addprinc
3.1.3 delprinc
3.1.4 change_password
3.1.5 ktadd
3.1.6 ktremove
3.2 Kerberos命令
3.2.1 kinit
3.2.2 klist
3.2.3 kdestroy
技术连载系列,前面内容请参考前面连载1内容:Kerberos安全认证-连载1-Kerberos简介_IT贫道的博客-CSDN博客
1.Kerberos术语
通过Kerberos认证原理介绍,我们已经了解到Kerberos的一些术语,还有一些术语可以更好的帮助我们学习Kerberos,如下:
- realm:领域,身份验证管理域,领域确定了管理边界,所有主体均属于特定的Kerberos域
- principal:主体,Principal主体用于标识身份,每个参与Kerberos认证协议的用户和服务都需要一个主体来唯一标识自己。Principal由三部分组成:名字(name)、实例(instance)、域(realm),例如一个标准的Kerberos用户/服务表示为:name/instance@REALM。
- name:表示用户名。
- instance:对name的进一步描述,例如name所在的主机名或name的类型等。可以省略,与第一部分使用“/”分割
- realm:就是前面说的领域,表示Kerberos在管理上的划分,在 KDC 中所负责的一个域数据库称作为 Realm。这个数据库中存放有该网络范围内的所有 Principal 和它们的密钥,Realm一般都是大写。
用户principal的命名类似:zhangsan/[email protected],形式是用户名/角色/realm域。
服务principal的命名类似:ftp/[email protected],形式是服务名/地址/realm域。
- keytab:Kerberos认证有两种方式——通过密码或者密钥文件进行认证。这里说的keytab就是密钥文件,该文件包含Principal主体的用户名及密码,客户端可以通过Keytab密钥文件进行身份验证。
- kadmin:即Kerberos administration server,运行在主kerberos节点。负责存储KDC数据库,管理principal信息。
2.Kerberos安装
Kerberos架构是客户端/服务端架构方式,安装kerberos涉及到3个安装包:krb5-server、krb5-workstation、krb5-libs:
- krb5-server:Kerberos服务端程序,KDC所在节点。
- krb5-workstation:包含基本的Kerberos程序,如:kinit、klist、kdestroy、kpasswd,所有kerberos节点需要部署。
- krb5-libs:包含Kerberos程序的各种支持类库,所有节点部署。
这里搭建Kerberos选择一台节点当做Kerberos服务端,其他节点为Kerberos客户端,节点分布如下:
| 节点IP |
节点名称 |
Kerberos 服务端 |
Kerberos 客户端 |
| 192.168.179.4 |
node1 |
★ |
★ |
| 192.168.179.5 |
node2 |
★ |
|
| 192.168.179.6 |
node3 |
★ |
|
| 192.168.179.7 |
node4 |
★ |
|
| 192.168.179.8 |
node5 |
★ |
Kerberos安装步骤如下:
1) 安装Kerberos服务端
在node1节点上安装kerberos服务端:
| [root@node1 ~]# yum install -y krb5-server |
以上安装完成后会在KDC主机上生成配置文件:/var/kerberos/krb5kdc/kdc.conf。
2) 安装kerberos客户端
在node1~node5节点安装Kerberos客户端:
| [root@node1 ~]# yum install -y krb5-workstation krb5-libs [root@node2 ~]# yum install -y krb5-workstation krb5-libs [root@node3 ~]# yum install -y krb5-workstation krb5-libs [root@node4 ~]# yum install -y krb5-workstation krb5-libs [root@node5 ~]# yum install -y krb5-workstation krb5-libs |
以上安装完成后会在客户端生成配置文件/etc/krb5.conf。
3) 配置服务端kdc.conf文件
kdc.conf文件位于node1服务端/var/kerberos/krb5kdc/路径中,可以通过配置改文件来增加realm域信息。
| #vim /var/kerberos/krb5kdc/kdc.conf [kdcdefaults] kdc_ports = 88 kdc_tcp_ports = 88 [realms] EXAMPLE.COM = { #master_key_type = aes256-cts acl_file = /var/kerberos/krb5kdc/kadm5.acl dict_file = /usr/share/dict/words admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:norma l des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal } |
该配置文件中的各个配置项可以参考:https://web.mit.edu/kerberos/krb5-1.20/doc/admin/conf_files/kdc_conf.html#kdc-conf-5,以上针对各个配置说明:
- kdc_ports:KDC服务监听的端口。
- EXAMPLE.COM:设定的realms,名字随意。Kerberos可以支持多个realms,一般为大写。
- master_key_type:指定Kerberos主密钥加密算法类型,默认使用aes256-cts。
- acl_file:ACL文件路径,Kerberos通过该文件来确定哪些Principal具有哪些权限。
- dict_file:存放一个由多行字符串构成的文本文件,该文件中的字符串禁止作为密码使用。
- admin_keytab:KDC进行校验的keytab,该keytab用于认证管理员的密钥。
- supported_enctypes:支持的加密算法类型。
以上该文件暂时不做修改。
4) 所有客户端配置krb5.conf
krb5.conf文件位于客户端/etc/目录下,下面在node1客户端配置/etc/krb5.conf文件,配置完成后分发到node2~node5所有的客户端。
| #node1客户端配置 /etc/krb5.conf文件如下: # Configuration snippets may be placed in this directory as well includedir /etc/krb5.conf.d/ [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] dns_lookup_realm = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true rdns = false pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt default_realm = EXAMPLE.COM # default_ccache_name = KEYRING:persistent:%{uid} [realms] EXAMPLE.COM = { kdc = node1 admin_server = node1 } [domain_realm] # .example.com = EXAMPLE.COM # example.com = EXAMPLE.COM |
关于该文件配置项的详细内容参考:https://web.mit.edu/kerberos/krb5-1.20/doc/admin/conf_files/krb5_conf.html#krb5-conf-5。该配置文件的解释如下:
- logging模块:配置默认即可,KDC和Kadmin服务的log文件路径。
- libdefaults模块:
- dns_lookup_realm:使用主机域名到kerberos domain的映射定位KDC。
- ticket_lifetime:ticket过期时间,超过这个时间ticket需要重新申请或renew。
- renew_lifetime:ticket可进行renew的时间限制。
- forwardable:如果配置为true,在KDC允许的情况下,初始ticket可以被转发。
- rdns:是否可使用逆向DNS。
- pkinit_anchors:签署KDC证书的根证书。
- default_realm:指定默认的realm,需要设置,否则后续Kerberos服务不能正常启动。
- default_ccache_name:默认凭据缓存的命名规则,这里注释掉,否则后续HDFS客户端不能认证操作HDFS。
- realms模块:
realms模块按照如下模板进行配置即可:
| EXAMPLE.COM = { kdc = kerberos.example.com admin_server = kerberos.example.com } |
关于配置参数解释如下:
- kdc:KDC服务所在节点。
- admin_server:kadmin服务所在节点,即Kerberos administration server。
- domain_realm模块:
此模块配置了domain name 或者hostname同kerberos realm之间的映射关系。将以上配置好的文件,发送到node2~node5节点上:
| [root@node1 ~]# scp /etc/krb5.conf node2:/etc/ [root@node1 ~]# scp /etc/krb5.conf node3:/etc/ [root@node1 ~]# scp /etc/krb5.conf node4:/etc/ [root@node1 ~]# scp /etc/krb5.conf node5:/etc/ |
5) 服务端配置kadm5.acl文件
kadm5.acl位于服务端/var/kerberos/krb5kdc/kadm5.acl,该ACL文件用于控制kadmin数据库的访问权限,以及哪些Principal可以操作其他的Principal,配置如下:
以上配置表示名称匹配*/[email protected]的Principal都认为是admin管理员角色,权限是*代表全部权限。可以根据自己配置情况修改对应的域,这里暂不做修改。
6) 服务初始化Kadmin数据库
初始化Kadmin数据库的命令格式为:
| kdb5_util create -s -r [realm] |
以上-s表示生成存储文件,-r指定realm name ,以上命令需要在服务端执行,执行后默认创建的数据库路径为:/var/kerberos/krb5kdc,如果需要重建数据库,将该目录下的principal相关的文件删除即可,请牢记数据库密码。
这里在node1节点上初始化Kadmin数据库,操作如下:
| [root@node1 ~]# kdb5_util create -s -r EXAMPLE.COM Loading random data Initializing database '/var/kerberos/krb5kdc/principal' for realm 'EXAMPLE.COM', master key name 'K/[email protected]' You will be prompted for the database Master Password. It is important that you NOT FORGET this password. Enter KDC database master key: 123456 Re-enter KDC database master key to verify:123456 |
当Kerberos database创建好了之后,在/var/kerberos/krb5kdc路径中可以看到生成的principal相关文件。
7) 启动Kerberos服务并设置开机自启动
在服务端启动Kerberos服务。
| #启动Kerberos服务命令,两个服务也可分开启动 [root@node1 ~]# systemctl start krb5kdc [root@node1 ~]# systemctl start kadmin #设置开机自启动 [root@node1 ~]# systemctl enable krb5kdc [root@node1 ~]# systemctl enable kadmin #查看两个服务启动状态 [root@node1 ~]# systemctl status krb5kdc kadmin |
3.Kerberos使用
3.1 Kadmin 数据库操作
可以在客户端和服务端对Kadmin数据库进行操作,由于Kadmin数据库本身就在服务端,所以如果在服务端操作Kadmin数据库只需要通过输入“kadmin.local”命令即可,如果在客户端操作Kadmin数据库,可以直接输入“kadmin”命令,但需要先在客户端进行主体认证,才可以在客户端对数据库进行操作。
下面在服务端操作Kadmin数据库进行命令演示。在node1输入“kadmin.local”命令:
| [root@node1 ~]# kadmin.local Authenticating as principal root/[email protected] with password. kadmin.local: |
以上进入交互窗口,输入“?”可以获取所有命令和解释:
| kadmin.local: ? Available kadmin.local requests: add_principal, addprinc, ank Add principal delete_principal, delprinc Delete principal modify_principal, modprinc Modify principal rename_principal, renprinc Rename principal change_password, cpw Change password get_principal, getprinc Get principal list_principals, listprincs, get_principals, getprincs List principals add_policy, addpol Add policy modify_policy, modpol Modify policy delete_policy, delpol Delete policy get_policy, getpol Get policy list_policies, listpols, get_policies, getpols List policies get_privs, getprivs Get privileges ktadd, xst Add entry(s) to a keytab ktremove, ktrem Remove entry(s) from a keytab lock Lock database exclusively (use with extreme caution!) unlock Release exclusive database lock purgekeys Purge previously retained old keys from a principal get_strings, getstrs Show string attributes on a principal set_string, setstr Set a string attribute on a principal del_string, delstr Delete a string attribute on a principal list_requests, lr, ? List available requests. quit, exit, q Exit program. kadmin.local: |
我们也可以直接在服务端执行:kadmin.local -q “命令”,不进入交互窗口直接操作Kadmin数据库,下面介绍常见的操作命令。
3.1.1 list princs
listprincs命令是列出所有的Principal主体
| kadmin.local: listprincs kadmin/[email protected] kadmin/[email protected] kadmin/[email protected] kiprop/[email protected] krbtgt/[email protected] |
3.1.2 addprinc
addprinc命令是添加一个principal。
| kadmin.local: addprinc test/admin WARNING: no policy specified for test/[email protected]; defaulting to no policy Enter password for principal "test/[email protected]": 123456 Re-enter password for principal "test/[email protected]": 123456 Principal "test/[email protected]" created. #再次查看principal kadmin.local: listprincs kadmin/[email protected] kadmin/[email protected] kadmin/[email protected] kiprop/[email protected] krbtgt/[email protected] test/[email protected] #再次添加principal,该principal没有指定对应的角色权限,也是可以的。 kadmin.local: addprinc test2 WARNING: no policy specified for [email protected]; defaulting to no policy Enter password for principal "[email protected]": 123456 Re-enter password for principal "[email protected]": 123456 Principal "[email protected]" created. #查看principal kadmin.local: listprincs kadmin/[email protected] kadmin/[email protected] kadmin/[email protected] kiprop/[email protected] krbtgt/[email protected] test/[email protected] |
注意:
- 以上创建的test/admin principal第二部分是admin,根据之前在kadm5.acl文件中指定的匹配规则,该principal就相当于是admin管理员用户。在创建Principal是也可以不指定第二部分,这种用户就是普通用户。
- 关于创建好的用户如何去认证,参考后续kinit命令。
3.1.3 delprinc
delprinc可以删除principal
| kadmin.local: delprinc test2 Are you sure you want to delete the principal "[email protected]"? (yes/no): yes Principal "[email protected]" deleted. Make sure that you have removed this principal from all ACLs before reusing. kadmin.local: delprinc test/admin Are you sure you want to delete the principal "test/[email protected]"? (yes/no): yes Principal "test/[email protected]" deleted. Make sure that you have removed this principal from all ACLs before reusing. #再次查看principal,之前创建的principal已经被删除 kadmin.local: listprincs kadmin/[email protected] kadmin/[email protected] kadmin/[email protected] kiprop/[email protected] krbtgt/[email protected] |
3.1.4 change_password
change_password命令可以修改principal密码。
| #创建test/admin principal主体,指定密码为123123 kadmin.local: addprinc test/admin WARNING: no policy specified for test/[email protected]; defaulting to no policy Enter password for principal "test/[email protected]": 123123 Re-enter password for principal "test/[email protected]": 123123 Principal "test/[email protected]" created. #修改test/admin principal主体密码为123456 kadmin.local: change_password test/admin Enter password for principal "test/[email protected]": 123456 Re-enter password for principal "test/[email protected]": 123456 Password for "test/[email protected]" changed. |
注意:对Principal主体修改密码后,需要使用kinit命令认证时需要使用新密码。
3.1.5 ktadd
ktadd命令key生成一个keytab文件,或者将一个principal加入到keytab。Kerberos客户端的认证支持两种方式,一种是用户名和密码认证方式,适合交互式应用。另一种是可以使用keytab密钥文件认证,可以通过ktadd命令将对应的principal主体添加到keytab文件,这样客户端就可以拿着keytab文件进行认证。关于参看后文kinit命令。
| #在node1上创建目录,用于存储keytab文件 [root@node1 ~]# mkdir /root/kerberos_keytab #将test/[email protected]主体加入到keytab文件 kadmin.local: ktadd -norandkey -kt /root/kerberos_keytab/test.keytab test/[email protected] Entry for principal test/[email protected] with kvno 2, encryption type aes256-cts-hmac-sha1-96 added to keytab WRFILE:/root/kerberos_keytab/test .keytab.Entry for principal test/[email protected] with kvno 2, encryption type aes128-cts-hmac-sha1-96 added to keytab WRFILE:/root/kerberos_keytab/test .keytab.Entry for principal test/[email protected] with kvno 2, encryption type des3-cbc-sha1 added to keytab WRFILE:/root/kerberos_keytab/test.keytab. Entry for principal test/[email protected] with kvno 2, encryption type arcfour-hmac added to keytab WRFILE:/root/kerberos_keytab/test.keytab. Entry for principal test/[email protected] with kvno 2, encryption type camellia256-cts-cmac added to keytab WRFILE:/root/kerberos_keytab/test.ke ytab.Entry for principal test/[email protected] with kvno 2, encryption type camellia128-cts-cmac added to keytab WRFILE:/root/kerberos_keytab/test.ke ytab.Entry for principal test/[email protected] with kvno 2, encryption type des-hmac-sha1 added to keytab WRFILE:/root/kerberos_keytab/test.keytab. Entry for principal test/[email protected] with kvno 2, encryption type des-cbc-md5 added to keytab WRFILE:/root/kerberos_keytab/test.keytab. |
针对以上"ktadd -norandkey -kt /root/kerberos_keytab/test.keytab test/[email protected]"命令解释如下:
- 命令中"-norandkey"表示不使用随机密码,如果不指定那么会对该主体随机生成密码,源密码不可用,建议指定,这样客户端使用该主体即可使用密码验证也可以使用keytab密钥文件验证。
- 命令执行后产生了8个entry,原因是在kdc.conf的supported_enctypes配置项指定了8种加密算法,因此这里会打印出8个entry。
- 关于生成keytab文件,如果指定路径下没有该文件,会生成一个新的keytbl文件,然后将指定principal添加到该keytab;如果有该keytab文件会直接追加写入。
- 关于如何使用keytab方式认证命令参考下文kinit命令。
我们也可以使用ktadd命令将多个principal加入到同一个keytab文件中,这样该keytab就可以用于认证多个用户,操作如下:
| #创建新的principal主体demo/admin kadmin.local: addprinc demo/admin WARNING: no policy specified for demo/[email protected]; defaulting to no policy Enter password for principal "demo/[email protected]": 123456 Re-enter password for principal "demo/[email protected]": 123456 Principal "demo/[email protected]" created. #将demo/admin加入到/root/kerberos_keytab/test.keytab密钥中 kadmin.local: ktadd -norandkey -kt /root/kerberos_keytab/test.keytab demo/[email protected] #可以退出kadmin.local数据库操作窗口,执行如下命令查看keytab 文件关联的principal [root@node1 ~]# klist -kt /root/kerberos_keytab/test.keytab Keytab name: FILE:/root/kerberos_keytab/test.keytab KVNO Principal ---- -------------------------------------------------------------------------- 2 test/[email protected] 2 test/[email protected] 2 test/[email protected] 2 test/[email protected] 2 test/[email protected] 2 test/[email protected] 2 test/[email protected] 2 test/[email protected] 1 demo/[email protected] 1 demo/[email protected] 1 demo/[email protected] 1 demo/[email protected] 1 demo/[email protected] 1 demo/[email protected] 1 demo/[email protected] 1 demo/[email protected] |
3.1.6 ktremove
keremove命令可以从keytab文件中删除关联的pricipal
针对keytab文件中关联的多个pricipal可以通过ktremove命令来删除pricipal主体与keytab密钥文件的关联。
| [root@node1 ~]# kadmin.local kadmin.local: ktremove -kt /root/kerberos_keytab/test.keytab demo/[email protected] |
以上命令将demo/[email protected]主体与keytab文件删除了关联。再次查看keytab 文件关联的principal。
| [root@node1 ~]# klist -kt /root/kerberos_keytab/test.keytab Keytab name: FILE:/root/kerberos_keytab/test.keytab KVNO Principal ---- -------------------------------------------------------------------------- 2 test/[email protected] 2 test/[email protected] 2 test/[email protected] 2 test/[email protected] 2 test/[email protected] 2 test/[email protected] 2 test/[email protected] 2 test/[email protected] |
3.2 Kerberos命令
3.2.1 kinit
kinit命令可以对Principal主体进行认证,获取principal授予的票据并缓存。Kerberos客户端支持两种认证方式,一是使用Principal + Password,二是使用Principal + keytab,前者适合用户进行交互式应用,例如hadoop fs -ls 这种,后者适合服务,例如yarn的rm、nm等。principal + keytab就类似于ssh免密码登录,登录时不需要密码。
无论使用以上哪种认证方式需要在Kerberos数据库中创建对应Principal主体,下面在服务端创建主体test/test ,也可以不指定对应的角色,并且生成keytab文件。
| #node1服务端创建test/test主体 [root@node1 ~]# kadmin.local -q "addprinc test/test" Authenticating as principal root/[email protected] with password. WARNING: no policy specified for test/[email protected]; defaulting to no policy Enter password for principal "test/[email protected]": 123456 Re-enter password for principal "test/[email protected]": 123456 Principal "test/[email protected]" created. #将主体添加到keytab文件中 [root@node1 ~]# kadmin.local -q "ktadd -norandkey -kt /root/kerberos_keytab/my.keytab test/[email protected]" |
- 使用password进行认证
在node1~node5任意客户端上使用kinit命令进行认证。
| [root@node2 ~]# kinit test/[email protected] Password for test/[email protected]: 123456 |
注意:可以使用kinit -h 查看kinit的使用参数。
- 使用keytab进行认证
在node1~node5任意客户端上准备keytab文件,然后通过kinit 命令指定keytab文件进行认证。
| #将node1节点上生成的my.keytab文件分发到node2节点/root目录下 [root@node1 ~]# scp /root/kerberos_keytab/my.keytab node2:/root/ #在node2节点进行客户端认证 [root@node2 ~]# kinit test/[email protected] -kt /root/my.keytab |
注意:指定keytab文件时必须写成 -kt。
也可以在客户端节点上执行kadmin命令,需要使用具有admin权限的Principal主体,命令如下:
| [root@node5 ~]# kadmin -p test/[email protected] -w 123456 Authenticating as principal test/[email protected] with password. kadmin: listprincs demo/[email protected] kadmin/[email protected] kadmin/[email protected] kadmin/[email protected] kiprop/[email protected] krbtgt/[email protected] test/[email protected] test/[email protected] |
3.2.2 klist
通过 klist命令可以查看当前凭据缓存内的票据Ticket。
| [root@node2 ~]# klist Ticket cache: KEYRING:persistent:0:0 Default principal: test/[email protected] Valid starting Expires Service principal 2023-05-10T15:03:37 2023-05-11T15:03:37 krbtgt/[email protected] #如果在没有认证的客户端节点执行klist命令,查询不到缓存的Ticket [root@node3 kerberos]# klist klist: Credentials cache keyring 'persistent:0:0' not found |
除此之外,klist还可以列出keytab文件关联的Pricipal主体:
| [root@node2 ~]# klist -kt /root/my.keytab Keytab name: FILE:/root/my.keytab KVNO Timestamp Principal ---- ------------------- ------------------------------------------------------ 1 2023-05-10T14:58:23 test/[email protected] 1 2023-05-10T14:58:23 test/[email protected] 1 2023-05-10T14:58:23 test/[email protected] 1 2023-05-10T14:58:23 test/[email protected] 1 2023-05-10T14:58:23 test/[email protected] 1 2023-05-10T14:58:23 test/[email protected] 1 2023-05-10T14:58:23 test/[email protected] 1 2023-05-10T14:58:23 test/[email protected] |
3.2.3 kdestroy
kdestroy命令用来销毁当前认证缓存的票据,该命令不需要任何参数,可以指定kdestroy -A 删除所有用户的票据缓存,不指定-A 仅删除当前用户的票据缓存。
| [root@node2 ~]# kdestroy Other credential caches present, use -A to destroy all |
欢迎点赞、评论、收藏,关注IT贫道,获取IT技术知识!