Kerberos概述

什么是Kerberos

Kerberos是一种计算机网络认证协议，用来在非安全网络中，对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构，并且能够进行相互认证，即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合，是一种应用对称密钥体制进行密钥管理的系统。

Kerberos术语

Kerberos中有以下一些概念需要了解：
1）KDC（Key Distribute Center）：密钥分发中心，负责存储用户信息，管理发放票据。
2）Realm：Kerberos所管理的一个领域或范围，称之为一个Realm。
3）Rrincipal：Kerberos所管理的一个用户或者一个服务，可以理解为Kerberos中保存的一个账号，其格式通常如下：primary/instance@realm
4）keytab：Kerberos中的用户认证，可通过密码或者密钥文件证明身份，keytab指密钥文件。

Kerberos认证原理

Kerberos安装

安装Kerberos相关服务

选择集群中的一台主机（hadoop102）作为Kerberos服务端，安装KDC，所有主机都需要部署Kerberos客户端。
服务端主机执行以下安装命令

客户端主机执行以下安装命令

修改配置文件
1，服务端主机（hadoop102）
修改/var/kerberos/krb5kdc/kdc.conf文件，内容如下

修改如下内容（可不做修改）

2，客户端主机（所有主机）
修改/etc/krb5.conf文件（修改后记得分发）

内容如下

初始化KDC数据库

在服务端主机（hadoop102）执行以下命令，并根据提示输入密码。
用户名和密码均为admin （小写）

修改管理员权限配置文件

在服务端主机（hadoop102）修改/var/kerberos/krb5kdc/kadm5.acl文件，内容如下

启动Kerberos相关服务

在主节点（hadoop102）启动KDC，并配置开机自启 （关闭用stop 和 disable ）

在主节点（hadoop102）启动Kadmin，该服务为KDC数据库访问入口

创建Kerberos管理员用户

在KDC所在主机（hadoop102），执行以下命令，并按照提示输入密码

用户名和密码均为admin （小写）

Kerberos使用概述

Kerberos数据库操作

1，登录数据库
1）本地登录（无需认证）

2）远程登录（需进行主体认证，认证操作见下文）

退出输入：exit

2，创建Kerberos主体
登录数据库，输入以下命令，并按照提示输入密码

也可通过以下shell命令直接创建主体 （admin）

3，修改主体密码（admin）

4.查看所有主体

Kerberos认证操作

1，密码认证
1）使用kinit进行主体认证，并按照提示输入密码 （admin）

2）查看认证凭证

2，密钥文件认证
1）生成主体test的keytab文件到指定目录/root/test.keytab

注：-norandkey的作用是声明不随机生成密码，若不加该参数，会导致之前的密码失效。
2）使用keytab进行认证

3）查看认证凭证

3，销毁凭证

4，恢复凭证的时候再使用keytab进行认证即可！

本文由 在线网速测试 整理编辑，转载请注明出处，原文链接：https://www.wangsu123.cn/news/17762.html。