收藏
下载资源

Kerberos主从配置

上传人:灯火****19 文档编号:125356177 上传时间:2020-03-17 格式:DOC 页数:10 大小:18.03KB
返回 下载 相关 举报
Kerberos主从配置_第1页
第1页 / 共10页
Kerberos主从配置_第2页
第2页 / 共10页
Kerberos主从配置_第3页
第3页 / 共10页
Kerberos主从配置_第4页
第4页 / 共10页
Kerberos主从配置_第5页
第5页 / 共10页
点击查看更多>>
资源描述

《Kerberos主从配置》由会员分享,可在线阅读,更多相关《Kerberos主从配置(10页珍藏版)》请在金锄头文库上搜索。

1、Kerberos主从配置文档1. Kerberos主从同步机制Master111.111.241.210Slave111.111.241.211Krb5kdcKadminkpropd在Master上通过以下命令同步数据:kdb5_util dump /var/kerberos/krb5kdc/slave_dbkprop -f /var/kerberos/krb5kdc/slave_db 2. 搭建 Kerberos3.1 环境我们在两个备用NameNode节点上实现Kerberos主从,并在其它需要接入认证的主机上安装Kerberos客户端。 操作系统:CentOS 6.7/RedHart 6

2、.7 运行用户:root3.2 安装包我们是基于RedHart 6.7/CentOS 6.7操作系统,相关Kerberos安装包可在系统包中获取,相关rpm包列表如下:krb5-app1-clients*.rpmkrb5-libs*.rpmkrb5-app1-servers*.rpmkrb5-pkinit-openssl*.rpmkrb5-auth-dialog*.rpmkrb5-server*.rpmkrb5-dev1*.rpmkrb5-server-ldap*.rpmkrb5-workstation*.rpm3.2 安装过程3.2.1 准备工作确认添加主机名解析到/etc/hosts文件中

3、。$ cat /etc/hosts127.0.0.1 localhost111.111.241.210 - master KDC111.111.241.211 - slave KDC注意:hostname 请使用小写,要不然在集成 kerberos 时会出现一些错误。3.2.2 安装 kdc server在 KDC (这里是master 和 slave) 上安装包 krb5、krb5-server 和 krb5-client。 rpm -ivh krb5-server*.rpm rpm ivh krb5-libs*.rpm rpm -ivh krb5-auth-dialog*.rpm rp

4、m -ivh krb5-workstation*.rpm在其他节点(kerberos 所有认证客户端)安装 krb5-libs、krb5-workstation rpm ivh krb5-libs*.rpm rpm -ivh krb5-workstation*.rpm3.2.3 修改配置文件kdc 服务器涉及到三个配置文件:/etc/krb5.conf/var/kerberos/krb5kdc/kdc.conf/var/kerberos/krb5kdc/kadm5.acl配置 Kerberos 的一种方法是编辑配置文件 /etc/krb5.conf。默认安装的文件中包含多个示例项。$ cat

5、/etc/krb5.conf logging default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log libdefaults default_realm = HADOOP.COM dns_lookup_realm = false dns_lookup_kdc = false clockskew = 120 ticket_lifetime = 24h renew_lifetime = 7d forwardable = true ren

6、ewable = true udp_preference_limit = 1 default_tgs_enctypes = arcfour-hmac default_tkt_enctypes = arcfour-hmac realms HADOOP.COM = kdc = :88 kdc = :88 admin_server = :749 domain_realm = HADOOP.COM = HADOOP.COM kdc profile=/var/kerberos/krb5kdc/kdc.conf说明: logging:表示 server 端的日志的打印位置 libdefaults:每种

7、连接的默认配置,需要注意以下几个关键的小配置 default_realm = HADOOP.COM:设置 Kerberos 应用程序的默认领域。如果您有多个领域,只需向 realms 节添加其他的语句。 udp_preference_limit= 1:禁止使用 udp 可以防止一个Hadoop中的错误 clockskew:时钟偏差是不完全符合主机系统时钟的票据时戳的容差,超过此容差将不接受此票据。通常,将时钟扭斜设置为 300 秒(5 分钟)。这意味着从服务器的角度看,票证的时间戳与它的偏差可以是在前后 5 分钟内。 ticket_lifetime: 表明凭证生效的时限,一般为24小时。 re

8、new_lifetime: 表明凭证最长可以被延期的时限,一般为一个礼拜。当凭证过期之后,对安全认证的服务的后续访问则会失败。 realms:列举使用的 realm。 kdc:代表要 kdc 的位置。格式是机器:端口 admin_server:代表 admin 的位置。格式是机器:端口 default_domain:代表默认的域名 appdefaults:可以设定一些针对特定应用的配置,覆盖默认配置。修改/var/kerberos/krb5kdc/kdc.conf,该文件包含 Kerberos 的配置信息。例如,KDC 的位置,Kerbero 的 admin 的realms 等。需要所有使用的

9、 Kerberos 的机器上的配置文件都同步。这里仅列举需要的基本配置。详细参考:http:/web.mit.edu/kerberos/krb5-devel/doc/admin/conf_files/krb5_conf.html$ cat /var/kerberos/krb5kdc/kdc.confkdcdefaults v4_mode = nopreauth kdc_ports = 88 kdc_tcp_ports = 88realms HADOOP.COM = master_key_type = aes256-cts acl_file = /var/kerberos/krb5kdc/kad

10、m5.acl dict_file = /usr/share/dict/words admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab supported_enctypes = des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal des-cbc-crc:v4 des-cbc-crc:afs3 max_life = 24h max_renewable_life = 10d default_princip

11、al_flags = +renewable, +forwardable 说明: HADOOP.COM: 是设定的 realms。名字随意。Kerberos 可以支持多个 realms,会增加复杂度。大小写敏感,一般为了识别使用全部大写。这个 realms 跟机器的 host 没有大关系。 master_key_type:和supported_enctypes默认使用aes256-cts。由于,JAVA 使用aes256-cts验证方式需要安装额外的 jar 包(后面再做说明)。推荐不使用,并且删除 aes256-cts。 acl_file:标注了 admin 的用户权限,需要用户自己创建。文件

12、格式是:Kerberos_principal permissions target_principal restrictions supported_enctypes:支持的校验方式。 admin_keytab:KDC 进行校验的 keytab。关于AES-256加密:对于使用 centos5. 6及以上的系统,默认使用 AES-256 来加密的。这就需要集群中的所有节点上安装Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy File。下载的文件是一个 zip 包,解开后,将里面的两个文件放到下面的

13、目录中:$JAVA_HOME/jre/lib/security为了能够不直接访问 KDC 控制台而从 Kerberos 数据库添加和删除主体,请对 Kerberos 管理服务器指示允许哪些主体执行哪些操作。通过编辑文件 /var/lib/kerberos/krb5kdc/kadm5.acl 完成此操作。ACL(访问控制列表)允许您精确指定特权。$ cat /var/kerberos/krb5kdc/kadm5.acl */adminHADOOP.COM *3.2.4 同步配置文件将 kdc 中的/etc/krb5.conf拷贝到集群中其他服务器即可。$ scp /etc/krb5.conf h

14、ods-d01:/etc/krb5.conf$ scp /etc/krb5.conf hods-d02/etc/krb5.conf$ scp /etc/krb5.conf hods-d03:/etc/krb5.conf请确认集群如果关闭了 selinux。3.2.5 创建数据库在 cdh1 上运行初始化数据库命令。其中-r指定对应 realm。$ kdb5_util create -r HADOOP.COM -s出现Loading random data的时候另开个终端执行点消耗CPU的命令如cat /dev/sda /dev/urandom可以加快随机数采集。该命令会在/var/kerberos/krb5kdc/目录下创建 principal 数据库。如果遇到数据库已经存在的提示,可以把/var/kerberos/krb5kdc/目录下的 principal 的相关文件都删除掉。默认的数据库名字都是 principal。可以使用-d指定数据库名字。3.2.6 启动服务在 master 节点上运行:$ chkconfig -level 35 krb5kdc on$ chkc

展开阅读全文
相关资源
相关搜索

当前位置:首页 > IT计算机/网络 > 其它相关文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号