kerberos安装配置

安装步骤： 
1.下载krb5-1.9 
http://web.mit.edu/kerberos/dist/krb5/1.9/krb5-1.9-signed.tar 

2.解压 
tar -xvf krb5-1.9.signed.tar 
生成krb5-1.9.tar.gz 和krb5-1.9.tar.gz.asc 
继续解压tar zxvf krb5-1.9.tar.gz 

3.编译 
cd krb5-1.9/src 
./configure 
make 
make install 

4.配置/etc/krb5.conf 
这个是Kerberos最主要的配置文件，而且一定要放在/etc下 

[libdefaults]
      default_realm = 360BUY.COM

[realms]
      360BUY.COM = {
            kdc = m1.360buy.com
            admin_server = m1.360buy.com
            default_domain =360buy.com
      }

[logging]
      kdc = FILE:/data/logs/krb5/krb5kdc.log
      admin_server = FILE:/data/logs/krb5/kadmin.log
      default = FILE:/data/logs/krb5/krb5lib.log

[libdefaults]中的defalt_realm表示在不给出域的时候，默认采用这个 
[logging]中的是指定日志的位置 
[realms]是最重要的也是Kerberos中最难的概念。，称为kerberos域，表示KDC所管辖的范围，可以和DNS域名一样，也可以不一样 

5.配置/usr/local/var/krb5kdc/kdc.conf 
由于上面安装时没有选择安装目录，所以默认的安装位置在/usr/local/var/krb5kdc 

[kdcdefaults]
      kdc_ports=750,88

[realm]
      360BUY.COM ={
            database_name=/usr/local/var/krb5kdc/principal
            admin_keytab=/usr/local/var/krb5kdc/kadm5.keytab
            acl_file=/usr/local/var/krb5kdc/kadm5.acl
            key_stash_file=/usr/local/var/krb5kdc/.k5.360BUY.COM
            kdc_ports=750,88
            max_life=10h 0m 0s
            max_renewable_life=7d 0h 0m 0s
      }

6.创建一个kerberos数据库

/usr/local/sbin/kdb5_util create -r 360BUY.COM -s

会要求创建数据库的密码。 
并且创建/usr/local/var/krb5kdc/principal保存数据库文件 

7.登录kerberos 

/usr/local/sbin/kadmin.local

1）查看用户 
listprincs 

2）添加用户 
addprinc admin/[email protected] 

3）删除用户 
delprinc 

4）创建keytab文件

ktadd -k /usr/local/var/krb5kdc/kadm5.keytab kadmin/admin kadmin/changepw

可以用kadd来增加用户的权限 
注意kadm5.keytab的路径要与kdc.conf中的路径一致 

 

8.重启krb5kdc和kadmind进程 
/usr/local/sbin/kadmind 
/usr/local/sbin/krb5kdc 

 

9.更改/etc/hosts文件 
添加对应的host 
192.168.101.201 m1.360buy.com kdc 
192.168.101.202 m2.360buy.com client 
并且需要修改对应的hostname 

10.在KDC服务器上测试票据请求 
/usr/local/sbin/kadmin.local 
kadmin.local:addprinc [email protected] 
提示创建密码，然后退出 

su winston 
$ kinit [email protected] 
提示输入刚刚创建的密码 

$ klist 查看自己申请的票据 

11.在Client端安装kerberos 
同样需要编译，但是只需要配置文件/etc/krb5.conf 
内容和服务器的一致 

12.测试KDC服务器申请票据 
su winston 
$ kinit [email protected] 
提示输入刚刚创建的密码 


addprinc -randkey hdfs/[email protected] 
ktadd -norandkey -k hdfs.keytab hdfs/s1.360buy.com host/master.360buy.com

 

验证是否key正确

kinit -k -t hdfs.keytab hdfs/sl.360buy.com@360BUY.COM