kerberos认证搭建安装

最新推荐文章于 2025-05-05 18:09:53 发布
最新推荐文章于 2025-05-05 18:09:53 发布
阅读量3.2k 收藏 26
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 大数据探索 文章标签: kerberos 大数据 hive hadoop hbase
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tktttt/article/details/111151776

kerberos认证搭建安装

一、Kerberos简介

1.Kerberos

Kerberos是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份,协议基于对称密码学,并需要一个值得信赖的第三方(KDC)。Kerberos 是第三方认证机制,其中用户和服务依赖于第三方(Kerberos 服务器)来对彼此进行身份验证。 Kerberos服务器本身称为密钥分发中心或 KDC。
它主要包含:认证服务器(AS)和票据授权服务器(TGS)组成的密钥分发中心(KDC),以及提供特定服务的SS。相关概念描述:

  • AS(Authentication Server)= 认证服务器
  • KDC(Key Distribution Center)= 密钥分发中心
  • TGT(Ticket Granting Ticket)= 授权票据
  • TGS(Ticket Granting Server)= 票据授权服务器
  • SS(Service Server)= 特定服务提供端

KDC持有一个密钥数据库;每个网络实体——无论是客户还是服务器——共享一套只有他自己和KDC知道的密钥。密钥的内容用于证明实体的身份。对于两个实体间的通信,KDC产生一个会话密钥,用来加密他们之间的交互信息。

2.Kerberos认证流程

在这里插入图片描述
以平时坐火车举例:
在这里插入图片描述

  • 初始验证:票证授予票证:
    在这里插入图片描述
  • 后续Kerberos验证
    在这里插入图片描述

2.1客户端认证

  • 客户端将clientID(Principal)以明文消息发送给AS,以代表用户请求服务,密码(keytab)不会发送,AS能够从本地数据库中查询到。
  • AS会查询该用户名是否存在本地数据库,如果存在则使用该用户密码,发送两条加密消息给客户端。
    • Message A: 用户密码加密的会话密钥Client/TGS Session Key 。
    • Message B: 使用TGS加密的TGT,TGT包含了( client ID, client network address, ticket validity period, and the client/TGS session key)。
  • 一旦客户端收到消息A和B,它就会使用密码生成的密钥解密消息A。如果用户输入的密码与AS数据库中的密码不匹配,则无法解密消息A。解密后的会话密钥用于与TGS进行进一步的通信,客户端无法解密消息B,因为它是使用TGS的密钥加密的。此时,客户端具有足够的信息来向TGS进行身份验证。

2.2服务授权

  • 请求服务时,客户端将以下消息发送到TGS。
    • Message C: 由消息B的TGT和请求的服务的ID组成。
    • Message D: 使用Client/TGS Session Key加密的authenticator (which is composed of the client ID and the timestamp)。
  • 收到消息C和消息D后,TGS首先检查KDC数据库中是否存在所需的服务,查找到之后,TGS用自己的密钥解密消息C中的消息B(也就是TGT),从而得到之前生成的Client/TGS Session Key。TGS再用这个Session Key解密消息D得到包含用户ID和时间戳的Authenticator,并对TGT和Authenticator进行验证,验证通过之后返回两条消息:
    • Message E: 由服务端SS加密的Client-to-server ticket(客户端到服务端票据),包含了(Client ID, client network address, validity period and Client/Server Session Key)。
    • Message F:由Client/TGS Session Key加密的Client/Server Session Key

2.3服务请求

  • 当获得Client/Server Session Key之后,Client就能够使用服务器提供的服务了。Client向指定服务器发出2条消息:
    • Message E: 服务端ss加密的Client-to-server ticket
    • Message G: 新的Authenticator,包含使用Client/Server Session Key加密的client ID, timestamp。
  • 服务端解密消息E进而获得Client/Server Session Key,再用这个Client/Server Session Key解密消息G得到Authenticator,同TGS一样对Ticket和Authenticator进行验证,验证通过则服务器将以下消息发送给客户端,以确认其真实身份和接收客户端请求。
    • Message H: 通过Client/Server Session Key加密的,在客户的身份验证器中找到的时间戳。
  • 客户端使用Client/Server Session Key解密确认(消息H),并检查时间戳是否正确。如果正确,则客户端可以信任服务器并可以开始向服务器发出服务请求。
  • 服务器向客户端提供请求的服务。

3.kdc集群

3.1安装包

  • krb5-server:Kerberos服务端程序,KDC所在节点。
  • krb5-workstation: 包含一些基本Kerberos程序,比如(kinit, klist, kdestroy,kpasswd),使用Kerberos的所有节点都应该部署。
  • krb5-libs:包含Kerberos程序的各种支持类库等。所有节点部署。

3.2术语

  • principal :认证的主体,简单来说就是"用户名"。 Principal 是由三个部分组成:名字(name),实例(instance),REALM(域)。比如一个标准的 Kerberos 的用户是:name/instance@REALM。格式: 服务/主机@域
  • realm:域,类似于namespace的作用,可以看成是principal的一个"容器"或者"空间"。 在kerberos, 大家都约定成俗用大写来命名realm, 比如"EXAMPLE.COM",相对应的,principal的命名规则是"what_name_you_like@realm"。
  • keytab文件:存储了多个principal的加密密码。因为服务器上可以访问 keytab 文件即可以以 principal 的身份通过 kerberos 的认证,所以,keytab 文件应该被妥善保存,应该只有少数的用户可以访问
  • password:某个用户的密码,对应于kerberos中的master_key。password可以存在一个keytab文件中。所以kerberos中需要使用密码的场景都可以用一个keytab作为输入。
  • credential:credential是“证明某个人确定是他自己/某一种行为的确可以发生”的凭据。在不同的使用场景下, credential的具体含义也略有不同:
    • 对于某个principal个体而言,他的credential就是他的password。
    • 在kerberos认证的环节中,credential就意味着各种各样的ticket。
  • ticket(票证):ticket 是一种信息包,用于将用户身份安全地传递到服务器或服务。一个票证仅对一台客户机以及某台特定服务器上的一项特殊服务有效。所有此类数据都使用服务器的服务密钥进行加密。颁发票证之后,可重用票证直到其到期为止。票证包含以下内容:
    • 服务的主体名称
    • 用户的主体名称
    • 用户主机的 IP 地址
    • 时间标记
    • 定义票证生命周期的值
    • 会话密钥的副本

以上来自文章Kerberos协议及Habase相关参数kerberos入坑指南

二、安装搭建

1.服务器安装

所用机器节点名为node1

1.1安装命令

yum -y install krb5-server krb5-libs krb5-workstation

执行完命令后,会生成kerberos配置文件,krb5.conf和kdc.conf等
主要文件路径分别为:

  • /var/kerberos/krb5kdc/
    • /var/kerberos/krb5kdc/kdc.conf
    • /var/kerberos/krb5kdc/kadm5.acl
  • /etc/krb5.conf

安装情况如图:
在这里插入图片描述

1.2修改配置

1.2.1修改KDC的配置文件

cat /var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 HADOOP.COM = {
   
   
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  max_life = 1d
  max_renewable_life = 7d
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }

注:其上配置中的aes256-cts:normal这个算法需要额外的jar包支持,可以去掉

配置说明:

[kdcdefaults]
#该部分包含在此文件中列出的所有通用的配置。
 kdc_ports = 88  #指定KDC的默认端口
 kdc_tcp_ports = 88 # 指定KDC的TCP协议默认端口。

[realms]
#该部分列出每个领域的配置。
 HADOOP.COM = {
   
   #是设定的 realms。名字随意,推荐为大写!,但须与/etc/krb5.conf保持一致。Kerberos 可以支持多个 realms,会增加复杂度。大小写敏感。
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl #标注了 admin 的用户权限的文件,若文件不存在,需要用户自己创建。即该参数允许为具有对Kerberos数据库的管理访问权限的UPN指定ACL。
  dict_file = /usr/share/dict/words #该参数指向包含潜在可猜测或可破解密码的文件。
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab #KDC 进行校验的 keytab。
  max_life        #该参数指定如果指定为2天。这是票据的最长存活时间。
 max_renewable_life   #该参数指定在多长时间内可重获取票据。
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal #指定此KDC支持的各种加密类型。
 }
1.2.2配置KDC服务的权限管理文件

cat /var/kerberos/krb5kdc/kadm5.acl

*/[email protected]	*

配置说明:
上述参数只有两列,第一列为用户名,第二列为权限分配。

*/[email protected]	    #表示以"/[email protected]"结尾的用户。
*             #表示UNP可以执行任何操作,因为权限为所有权限,

权限可选择的配置列表如下:

a: 允许增加principal或访问策略
A: 不允许增加principal或访问策略
c: 允许变更principals的密码
C: 不允许变更princials的密码
d: 允许删除principals或策略
D: 不允许删除principals或策略
i: 允许查看数据库
I: 不允许查看数据库
l: 允许列出principals或策略列表
L: 不允许列出principals或策略
m: 允许修改principals或策略
M: 不允许修改principals或策略
p: 允许传播(propagation)principal数据库
P: 不允许传播principal数据库
s: 允许显式设置principals秘钥
S: 不允许显式设置principals秘钥
x: admcilsp的缩写。所有特权
*: 跟x一样

下面举例说明:

root/[email protected] * 
===说明:root/admin可以在kadmin里做任何事===

xianglei/[email protected] aml
===说明:root/admin可以在kadmin里增加,修改,查看principals列表,===
===但不能删除,传播,查看数据库内容,变更密码等操作===

list/[email protected] l
===说明:list/admin用户只能看,别的啥也不能干===
1.2.3修改Kerberos的配置文件信息

包含KDC的位置,Kerberos的admin的realms 等。需要所有使用的Kerberos的机器上的配置文件都同步。
cat /etc/krb5.conf

# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

[logging]
 default
最低0.47元/天 解锁文章

200万优质内容无限畅学
Kerberos搭建
弄潮大数据的博客
02-11 1103
搭建Kerberos Server
centos7.9 Kerberos认证服务安装
coder的专栏
01-05 792
由于项目要求需要增加Hbase集群的认证机制,通过研究决定采用Kerberos认证服务进行部署。本文使用 mit 的 kerberos 来作为 kdc 服务。编辑完成后需要同步到其他两个节点;以下只需要在krb5规划的服务器中安装即可;需要在三个节点都进行安装;
Hadoop部署和配置Kerberos安全认证
05-17
Hadoop部署和配置Kerberos安全认证全套流程。已经过实测并部署与生产环境。
Hive入门】Hive安全管理与权限控制:用户认证与权限管理深度解析
最新发布
IT成长日记的博客
05-05 1328
Hive的安全管理是一个系统工程,需要从认证、授权、审计三个维度进行综合设计。Kerberos提供了强大的认证机制,而LDAP则便于用户集中管理。在实际部署中,企业应根据自身的安全需求和IT基础设施,选择合适的认证方案,并结合细粒度的权限控制模型,构建全方位的数据安全防护体系。
Kerberosr认证流程、配置介绍及手动部署、问题排查方向
whutmengmeng的博客
09-13 2123
因为个人负责公司大数据团队Kerberos组件的维护,在日常部署或使用过程中,开发和运维同学常常会遇到一些问题找过来排查。考虑到Kerberos大数据环境中十分重要的一个服务,如果不了解其原理排查问题也会比较困难,这篇文章首先解释一下Kerberos的工作原理,接着介绍重要的配置参数,然后简要介绍一下手动部署的步骤,最后给出常见问题排查的方向。由于篇幅限制,很多问题不能详细展开,有兴趣可以在网上搜索资料详细了解。后续有机会,会结合实际客户需求场景,介绍一些操作方案
Kerberos安全认证-连载10-Hive Kerberos 安全配置及访问
qq_32020645的博客
06-22 4769
技术连载系列,前面内容请参考前面连载9内容:​​​​​​​Hive底层数据存储在HDFS中,HQL执行默认会转换成MR执行在Yarn中,当HDFS配置了Kerberos安全认证时,只对HDFS进行认证是不够的,因为Hive作为数据仓库基础架构也需要访问HDFS上的数据。因此,为了确保整个大数据环境的安全性,Hive也需要配置Kerberos安全认证,这样可以控制对Hive和底层HDFS数据的访问权限,防止未经授权的访问和操作,确保数据的安全性。目前对HDFS进行了Kerberos安全认证后,在Hive
Kerberos 部署
记录点点滴滴
04-11 904
安装 Kerberos 切换到 root 主节点 从节点 修改配置文件 服务端主机 ( cpu102 ) 客户端主机 初始化 KDC 数据库 修改管理员权限配置文件 启动Kerberos相关服务 创建 Kerberos 管理员用户 使用入门 Kerberos 数据库操作 登录数据库 创建Kerberos主体 Kerberos 认证操作 密码认证 密钥文件认证 销毁凭证
Kerberos网络认证协议搭建与分析-A48郭茁宁-1183710109-实验报告1
08-08
二、实验环境实验所使用的设备名称及规格,网络管理工具简介、版本等 三、实验内容与实验要求实验内容、原理分析及具体实验要求 四、实验过程与分析根据具体实验,记录、
kerberos环境搭建
06-27
- 使用`kinit`获取服务票证,尝试访问已配置的服务,确保Kerberos认证正常工作。 - 如果遇到问题,可以查看KDC的日志文件,如/var/log/krb5kdc/kdc.log,找出错误原因。 8. **安全考虑**: - 定期更改密码和密钥...
flink写入带kerberos认证的kudu connector
03-24
大数据处理领域,...总结,配置Flink写入带Kerberos认证的Kudu Connector涉及多个步骤,包括Kerberos环境的搭建、Flink配置以及Kudu连接器的使用。理解这些步骤对于在生产环境中确保数据安全性和稳定性至关重要。
Kerberos安全认证-连载2-Kerberos安装及使用
qq_32020645的博客
06-05 2375
Kerberos名词术语、Kerberos安装Kerberos命令使用
01、Kerberos安全认证之原理及搭建命令使用学习笔记
每个人都是独一无二的,把握好自己的节奏,跟着自己的心走。
07-11 2287
学习kerberos主要原因是目前部门里会有测试kerberos连通性的问题bug,所以以此来系统学习下kerberos安全认证,主要是学习在kerberos安全配置下如何去访问各个大数据组件。
Kerberos 认证介绍
qq_44011926的博客
07-29 2126
Ticket(票据):一个加密的证书,证明用户的身份并允许用户访问特定的服务。票据由 Kerberos 服务器(Key Distribution Center,KDC)颁发。KDC 是 Kerberos 认证系统的中心,包括两个主要的组件:Authentication Server (AS):负责用户登录验证,并颁发初始票据(Ticket Granting Ticket, TGT)。Ticket Granting Server (TGS):负责颁发服务票据,用于访问具体的服务。
快速搭建 Kerberos 环境
ttyy1112的专栏
04-02 1071
LDAP参考 参考 LDAP概念和原理介绍 Kerberos认证原理简介 Skipping Kerberos authentication prompts with JSch [duplicate] Replacing NIS with Kerberos and LDAP HOWTO
kerberos验证协议安装配置使用
krb___的博客
03-18 1969
Kerberos 是一个网络身份验证协议,用于在计算机网络中进行身份验证和授权。它提供了一种安全的方式,允许用户在不安全的网络上进行身份验证,并获取访问网络资源的权限。
Kerberos V5 Library Error Codes
zy531的专栏
02-02 4465
 http://web.mit.edu/kerberos/krb5-1.5/krb5-1.5.4/doc/krb5-admin/Kerberos-V5-Library-Error-Codes.html#Kerberos-V5-Library-Error-Codes Protocol error codes are ERROR_TABLE_BASE_krb5 + the protocol e
常见的 Kerberos 错误消息 (N-Z)
Sabrina & Joshua Java Ivory Tower
06-27 447
本节按字母顺序 (N-Z) 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息。   No credentials cache file found 原因: Kerberos 无法找到凭证高速缓存 (/tmp/krb5cc_uid)。 解决方法: 请确保该凭证文件存在并且可以读取。否则,请再次尝...
kerberos常用基本命令
qq_42668255的博客
11-22 1926
授权添加yarn账户  [root@xxx ~]# kadmin.local Authenticating as principal cloudera-scm/[email protected] with password.kadmin.local: addprinc [email protected]...
Kerberos常见错误及解决方案
热门推荐
shkstart的博客
08-31 1万+
1、 Kerberos启动后台日志提示异常:No such file or directory – while initializing database for realm HADOOP.COM 在/var/log/krb5kdc.log中发现No such file or directory – while initializing database for realm HADOOP.COM。 解决方案: ①: 检查kdc.conf和krb5.conf文件是否配置正确,修改配置,注意:配置文件的[kdc
kafka集成kerberos安全认证环境搭建
03-25
### Kafka与Kerberos集成安全认证环境搭建 为了实现Kafka与Kerberos之间的安全认证,通常需要以下几个方面的配置: #### 1. Kerberos服务端配置 Kerberos服务器的安装和配置是整个过程的基础。确保KDC(Key Distribution Center)已经正确部署并运行正常。创建用于Kafka集群的身份验证主体(principal),例如`kafka/hostname@REALM`。 对于每台Kafka broker机器都需要有对应的Kerberos principal,并生成相应的keytab文件[^1]。 #### 2. Kafka Broker配置 编辑Kafka的配置文件(通常是`server.properties`),添加如下关键属性来启用SASL/Kerberos支持: ```properties sasl.enabled.mechanisms=GSSAPI security.inter.broker.protocol=SASL_PLAINTEXT listener.name.sasl_plaintext.scram-sha-512.sasl.jaas.config=org.apache.kafka.common.security.gssapi.GssApiLoginModule required \ useKeyTab=true \ keyTab="/path/to/kafka.keytab" \ storePass="password" \ serverPrincipal="kafka/hostname@REALM"; ``` 上述配置启用了GSSAPI机制作为Broker间通信的安全协议,并指定了具体的keytab路径以及对应的服务principal名称。 #### 3. Java客户端配置 (Producer & Consumer) 当Java应用通过Kafka Producer或Consumer连接到受保护的Kafka集群时,也需要进行类似的JAAS配置。下面是一个典型的生产者配置例子: ```java Properties props = new Properties(); props.put("bootstrap.servers", "localhost:9092"); props.put("acks", "all"); props.put("retries", 0); props.put("batch.size", 16384); props.put("linger.ms", 1); props.put("buffer.memory", 33554432); // SASL/GSSAPI settings props.put("security.protocol", "SASL_PLAINTEXT"); props.put("sasl.mechanism", "GSSAPI"); System.setProperty("java.security.auth.login.config", "/path/to/jaas.conf"); producer = new KafkaProducer<>(props, new StringSerializer(), new StringSerializer()); ``` 其中`jaas.conf`应包含类似这样的条目: ```conf KafkaClient { com.sun.security.auth.module.Krb5LoginModule required useTicketCache=false useKeyTab=true keyTab="/path/to/user.keytab" principal="user@REALM"; }; ``` 此部分描述了如何让Java应用程序能够利用本地存储的票据缓存或者指定的keytab来进行身份验证[^2]。 #### 4. Spring Boot中的额外考虑事项 如果是在Spring Boot环境下操作,则可以借助其自动装配功能简化某些步骤。不过仍然需要手动调整application.yml(application.properties),加入必要的安全性选项。例如: ```yaml spring: kafka: bootstrap-servers: localhost:9092 consumer: group-id: test-group auto-offset-reset: earliest properties: security: protocol: SASL_PLAINTEXT sasl: mechanism: GSSAPI ``` 同时记得设置系统的JAVA_OPTS变量指向合适的JAAS配置文件位置。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值