centos7 安装 Kerberos

 

 

1、安装kerberos

Kerberos Server节点（Kadmin，KDC）执行如下命令：

yum install -y krb5-server krb5-libs krb5-workstation

 

使用Kerberos的节点（只使用Kerberos认证）执行如下命令： 

yum install -y krb5-devel krb5-workstation 

 

 

2、配置krb5.conf

vim /etc/krb5.conf

 

#1、realms模块：

admin_server：kadmin服务（即Kerberos administration server）所在节点。

kdc：KDC服务所在节点。

#2、domain_realm模块：

此模块配置了domain name或者hostname同kerberos realm之间的映射关系。

详细说明可参考官网文档：http://web.mit.edu/kerberos/krb5-latest/doc/admin/conf_files/krb5_conf.html

 

如图：

 

 

 

3、配置 kdc.conf

根据需要修改 vim /var/kerberos/krb5kdc/kdc.conf

# kdc_ports：KDC服务监听的端口。

# acl_file：ACL文件的路径。Kerberos使用这个ACL文件来确定哪些principal具有哪些权限。

# dict_file：存放一个由多行字符串构成的文本文件，该文件中的字符串禁止作为密码使用。

# admin_keytab：KDC 进行校验的 keytab。

# supported_enctypes：支持的加密算法类型。

# default_principal_flags：默认的principal标识，即创建principal时候无需特殊指定默认自带的标识。

 

如图：

 

 4、配置/var/kerberos/krb5kdc/kadm5.acl

# ACL文件用于控制kadmin数据库的访问权限，以及哪些principal可以操作其他的principal。

# 配置文件格式为：

# principal permissions [target_principal [restrictions] ]

# permissions官网有详细的列表，平时最为常用的是”*“，表示允许所有权限，并将该权限赋予管理员类型的principal。

 

# 例如我们配置：

 

 # 表示所有后缀为/admin@ABC.COM的principal具有所有权限，充当管理员角色。

# 官网配置项详细解释参见：http://web.mit.edu/kerberos/krb5-latest/doc/admin/conf_files/kadm5_acl.html

 

5、初始化Kadmin数据库

命令格式为：

#创建 Kerberos 数据库(密码： ABC.COM)

rm -rf /var/kerberos/krb5kdc/principal*
kdb5_util create -s -r ABC.COM

# -s：表示生成 stash file，并在其中存储 master server key（krb5kdc）

# -r：指定 realm name

 

6、启动Kerberos服务

 

systemctl start krb5kdc
systemctl start kadmin

 

7、使用（测试）

7.1、Kadmin数据库操作

 

• 如果有访问 KDC 服务器的 root 权限，但没有 kerberos admin 账户，使用 kadmin.local  
• 如果没有访问 KDC服务器的 root 权限，但用 kerberos admin 账户，使用 kadmin  

在运行kadmin的节点上执行如下命令，进入kadmin操作模式：

输入"?"可以获取到所有命令和解释：

 

列出所有的principal:

 

添加一个principal

如果没有指定-randkey或-nokey参数，需要指定一个密码。

 

 

kinit(在客户端认证用户)

kinit root/admin@ABC.COM

 

klist(查看当前的认证用户)