安装Kerberos
在centos7
下安装kerberos
-
yum
安装kerberos
yum install krb5-libs krb5-server krb5-workstation
- 配置
hosts
需要配置FQDN,配置如下:
vim /etc/hosts
10.2.1.23 ambari-ttt-master
- 配置
krb5
vim /etc/krb5.conf
[libdefaults]
renew_lifetime = 7d
forwardable = true
default_realm = [EXAM.CN]
ticket_lifetime = 24h
dns_lookup_realm = false
dns_lookup_kdc = false
default_ccache_name = /tmp/krb5cc_%{uid}
#default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
#default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
[logging]
default = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
kdc = FILE:/var/log/krb5kdc.log
[realms]
[EXAM.CN] = {
admin_server = [ambari-ttt-master]
kdc = [ambari-ttt-master]
}
- [EXAM.CN]: 域名称,可以随意起有语义化名称,最好大写
- [ambari-ttt-master]: 上一条中配置的FQDN的host名称
- 如果在启动中发生错误时,请查看logging下面的输出日志内容信息,可助快速定位的到问题
- 配置
krb
中的kdc
信息
vim /var/kerberos/krb5kdc/kdc.conf
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
[realms]
[EXAM.CN] = {
#master_key_type = aes256-cts
acl_file = /var/kerberos/krb5kdc/kadm5.acl
dict_file = /usr/share/dict/words
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
}
vim /var/kerberos/krb5kdc/kadm5.acl
*/admin@[EXAM.CN] *
- [EXAM.CN]: 是上一条中域的名称
- kadm5.acl文件中的[EXAM.CN]: 是上一条中域的名称
- 创建
kerberos
数据库
首选查看ll /var/kerberos/krb5kdc/
是否有kadm5.acl,kdc.conf
文件,创建命令如下:
kdb5_util create -r EXAM.COM -s
- 只需要输入密码即可,密码不能丢失,不然需要重新创建,创建完后在
ll /var/kerberos/krb5kdc/
目录会多几个文件分别principal,principal.kadm5,principal.kadm5.lock,principal.ok
- 创建管理员
kadmin.local -q "addprinc admin/admin"
其中admin/admin
是用户名,在创建的时候需要输入密码,需要把密码保存好,可以使用kadmin.local
输入listprincs
查看用户是否创建成功
- 启动服务
systemctl start krb5kdc
systemctl start kadmin
- 问题列表
- 启动
krb5kdc
时失败,查看/var/log/krb5kdc.log
文件报如下信息:
Algorithm AES256 not enabled
通过google后发现因为jre
下的加密的问题,需要重下载替换就可以啦http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html
根据自己安装的jdk
版本去下载
cp *.jar /usr/java/jdk1.8.0_112/jre/lib/security/
替换完成之后需要重启ambari
Ambari2.7
拖管Kerberos
- 登录
kerberos
- 点击启动
kerberos
- 填入
KDC
相关信息,如果连接失败,请查看ambari
的server
日志
- 下面的操作基本不需要配置,只需要按向导来操作就可以
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。