当前位置: 文江博客文章教程详情

Kerberos 安装测试使用

发布于 2021-04-10 21:34:59 字数 2537 浏览 1950 评论 0

1.安装 KDC Server

在 u1404(非HDP集群节点)安装 Install the KDC Server:

$ apt-get install krb5-kdc krb5-admin-server

第一次尝试时,提示 krb5-user 依赖冲突。用手机当热点执行 apt-get update 后。

安装过程中出现提示窗口让输入 Default Kerberos version 5 realm,保留默认值 AMBARI.APACHE.ORG。然后出现两次让输入 hostname,都输入的"u1404.ambari.apache.org"。最后提示说这个向导没有自动建立一个kerberos realm,如果想建立就执行命令"krb5_newrealm"。相关说明在/usr/share/doc/krb5-kdc/README.KDC中。

$ krb5_newrealm
master key name 'K/M@AMBARI.APACHE.ORG'
Enter KDC database master key:    (输入两次密码,密码是vagrant)

必须使用krb5_newrealm创建realm,否则无法启动下列服务。
启动KDC server和KDC admin server:

$ service krb5-kdc restart                     (如果不执行krb5_newrealm就无法启动这个服务)
$ service krb5-admin-server restart            (如果不执行krb5_newrealm就无法启动这个服务)

2.创建 Kerberos Admin

通过创建admin主体来建立KDC admin:

$ kadmin.local -q "addprinc root/admin"         (输入两次密码,密码是vagrant)

将刚创建的admin主体添加到KDC ACL中:

$ echo "*/admin@AMBARI.APACHE.ORG *" >> /etc/krb5kdc/kadm5.acl
$ service krb5-admin-server restart

3. 简单测试

查看主体清单的方法:在u1404节点(安装KDC的节点)上执行:

$ kadmin.local
kadmin.local: list_principals  
HTTP/u1402.ambari.apache.org@AMBARI.APACHE.ORG
HTTP/u1403.ambari.apache.org@AMBARI.APACHE.ORG
K/M@AMBARI.APACHE.ORG
admin/admin@AMBARI.APACHE.ORG
(略)

4.kerberos 客户端安装

ubuntu 下安装 kerberos 客户端:

$ apt install krb5-user  (如果提示包依赖错误,就用手机上网执行apt-get udpate)

centos 下安装 kerberos 客户端:

$ yum install krb5-workstation

安装过程中如果让输入KDC,则输入u1404.ambari.apache.org;如果让输入realm则输入AMBARI.APACHE.ORG;如果让输入管理服务器也输入地址u1404.ambari.apache.org

5.kerberos 客户端的使用

kerberos 客户端的常用命令是kinit、klist、kdestroy、kpasswd。 kinit用户登录。登录过程就是客户端从KDC获取票据TGT的过程。登录成功后,票据被缓存在本地。实际上就是建立了安全会话。

klist用户查看当前票据缓存中内容。

kdestroy用于退出登录,即销毁缓存中票据。

kpasswd用于修改用户(主体)口令。

$ klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)

上面的结果表明缓存文件中没有票据。

$ kinit webb
Password for webb@AMBARI.APACHE.ORG:(输入密码)
$ klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: webb@AMBARI.APACHE.ORG

Valid starting       Expires              Service principal
06/22/2017 08:14:21  06/22/2017 18:14:21  krbtgt/AMBARI.APACHE.ORG@AMBARI.APACHE.ORG
        renew until 06/29/2017 08:14:18
$ kdestroy    (退出,如果再执行klist就会又显示No credentials cache found)

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群
更多

你可能也喜欢

创建 Docker Swarm 集群

修复 passwd:Authentication token manipulation error 的步骤

如何退出无响应的 ssh 会话

Maven 中 optional 关键字

Android 的系统架构

Spin.js 动态制作网页 Loading 动画的插件

Mousewheel.js 鼠标滑轮跨浏览器 jQuery 兼容插件

Zepto 功能类似 jQuery 轻量级 JavaScript 库

上一篇:

下一篇:

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。
列表为空,暂无数据

关于作者

JSmiles

生命进入颠沛而奔忙的本质状态,并将以不断告别和相遇的陈旧方式继续下去。

0 文章
0 评论
84961 人气
发私信
更多

热门标签

操作系统 程序设计 IT运维 Linux系统管理 JavaScript 服务器应用 solaris C/C++ PHP Shell BSD Vue.js aix Oracle Python HTML 系统管理 HTML5 CSS 前端
更多

推荐作者

已经忘了多久

文章 0 评论 0

15867725375

文章 0 评论 0

LonelySnow

文章 0 评论 0

走过海棠暮

文章 0 评论 0

轻许诺言

文章 0 评论 0

信馬由缰

文章 0 评论 0

更多

友情链接

文江博客
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文