centos安装kerberos5步骤

CentOs5安装操作文档目录1.安装CentOs5操作系统 (1)1.1系统安装 (1)1.2后续配置 (21)1.2.1去掉启动图形界面 (21)1.2.2防火墙配置 (21)2.安装MYSQL (22)3.安装gd (25)4.安装Nginx (26)5.安装PHP (28)6.安装Zend FrameWork (32)注：本安装文档只是说明在安装CentOs5过程中的具体操作，并未涉及到安装过程的需要掌握的系统知识。

：）1.安装CentOs5操作系统1.1系统安装1.首先要设置计算机的BIOS启动顺序为光驱启动，保存设置后将安装光盘放入光驱，重新启动计算机。

2.进入启动画面，按回车键<Enter>3.进入选择选择安装过程语言界面Choose a Language：选择简体中文：Chinese(Simplified)，按回车键继续。

4.会提示Language Unavailable：原因是目前是字符界面，无法显示中文。

要到后面图形界面启动时，才能显示中文。

直接按回车键继续。

5.键盘布局类型选择：一般选择默认的“us”即可，按回车继续。

6.安装介质选择：因为我们从光盘安装，所以选择：Local CDROM，按回车继续。

7.如下图所示，如果你确定你的DVD光碟没有问题的话，可以直接单击“Skip”按钮跳过，否则单击“OK”按钮检测安装盘的完整性，但这样会花费很长时间。

8.进入安装欢迎界面，如下图所示。

9.进入分区方式选择界面：一般我们希望自己定义硬盘分区结构，所以，选择“建立自定义的分区结构”。

10.如果是全新硬盘，可能会发生如下错误信息，这个信息仅提示你，安装程序找不到分区表。

此时，直接按下“Yes”按钮初始化这个设备，如下图所示。

11.点击下一步后，出现手工分区界面12.创建启动分区：点击“新建”，挂载点选择“/boot”，文件类型选择“ext3”，大小填“100MB”，点“确定”继续。

CentOS搭建socket5代理服务器1.安装socket5依赖包yum -y install gcc automake make pam-devel openldap-devel cyrus-sasl-devel2.下载ss5并安装下载官⽹：/软件包：/project/ss5/ss5/3.8.9-6/ss5-3.8.9-6.tar.gz注意：不要下载最新版ss5-3.8.9-7.tar.gz，这个包安装后布不能启动，报以下错误：[11/Dec/2012:14:44:50 CST] [INFO] SS5 Version 3.8.9 - Release 7 starting[11/Dec/2012:14:44:50 CST] [INFO] Copyright (C) 2002-2011 by Matteo Ricchetti - <matteo.ricchetti@libero.it> [11/Dec/2012:14:44:50 CST] [INFO] Setting dynamic configuration.[11/Dec/2012:14:44:50 CST] [INFO] Cleaning old configuration.[11/Dec/2012:14:44:50 CST] [INFO] Loading and validating new configuration.[11/Dec/2012:14:44:50 CST] [0] [ERRO] S5LoadConfData: (No such file or directory).[11/Dec/2012:14:44:50 CST] [ERRO] Configuration not switched.root@test:~# tar zxvf ss5-3.8.9-6.tar.gzroot@test:~# cd ss5-3.8.9root@test:~# ./configure && make && make installroot@test:~# cd /etc/opt/ss5root@test:/etc/opt/ss5# lsss5.conf ss5.ha ss5.passwdss5.conf配置#auth 0.0.0.0/0 - -去掉注释，改为auth 0.0.0.0/0 - uu：使⽤ss5.passwd帐号密码登录，-：默认任何⼈都可使⽤#permit - 0.0.0.0/0 - 0.0.0.0/0 - - - - -去掉注释：permit - 0.0.0.0/0 - 0.0.0.0/0 - - - - -添加⽤户名密码vim ss5.passwdtest test3. 启动socks服务测试root@test:~# chmod 755 /etc/rc.d/init.d/ss5root@test:~# /etc/init.d/ss5 startProcessing math: 100%。

Centos 5.6 安装手册Linux操作系统的内核与界面分离，所有linux的内核都是相同，只是内核版本不同，目前最新的版本是2.6。

内核是开源的，可以免费使用。

各厂家在内核的基础上开发自己的界面和命令解释器，再发布给最终用户使用，形成了不同的发行版。

比较有名的发行版有Red Hat、suse,ubuntu,centos。

Linux本身是免费提供的，但有的发行版需要收取服务费（典型服务如：补丁更新），比如Red Hat 公司的Red Hat Enterprice Server系列。

Centos提供与Red Hat Enterprice server相同的服务器，但服务也是免费提供的。

Centos适于安装作为服务器，不适宜作桌面端。

因为目前Linux主要还是用于服务器，所以本次安装选择的是Centos 5.6版本。

1、启动计算机，进入BIOS设置从光驱作为第一启动盘，重启计算机，把Centos安装光盘放入光驱。

开机后自动进入光盘，出现安装界面2、按Enter键后，进行文件加载3、出现安装欢迎界面，提示时候进行磁盘检查，此处建议悬着SKIP(跳过)，检查的话时间过长。

4、进行安装等待5、进入安装，选择“next”下一步继续6、选择安装语言版本，选择“简体中文”，再选择“next”继续7、进行键盘习惯选择8、对新硬盘进行分区，建立分区结构，继续“下一步”9、对所选择硬盘进行分区操作确认10、进行网络配置，可按默认，继续下一步11、进行时区选择12、为ROOT根账号设置管理密码13、对系统的应用软件进行设置，选择需要的项目单击“下一步”继续14、系统配置全部完成，点击下一步，进行系统安装15、开始进行安装，继续等待16、进入欢迎界面，单击“前进”对系统进行配置17、进行系统防火墙，默认启动SSH，如需其它服务，则需打开对应信任服务，否则不能进行对应服务。

18、SELinux设置，强制默认，“前进”继续19、设置系统奔溃报错信息空间，有利于解决对应问题20、进行系统日期和时间校正21、设置用户账号和口令，用户名账号不少于6位字母，此账号为用户个人账户22、对系统声卡进行配置，调整音量大小23、对光驱进行设置，选择是否加载光盘，单击“完成”，自动重启24、进入系统，要求输入个人用户账号，回车确认25、输入对应口令，回车确认，进入系统26、安装完毕，进入系统桌面27、选择菜单，打开浏览器，就可以进行冲浪了。

Kickstart无人值守安装CrntOS5原理和概念：什么是PXE预启动执行环境（Preboot eXecution Environment，PXE，也被称为预执行环境)是让计算机通过网卡独立地使用数据设备(如硬盘)或者安装操作系统。

什么是KickStartKickstart是红帽创建的一种安装方法，使用kickstart,系统管理员可以创建一个文件,这个文件包含了在典型的安装过程中所遇到的问题的答案。

实现网络安装的过程是这样的：客户机PXE网络启动------>通过网际协议(IP)、用户数据报协议(UDP)、动态主机设定协定(DHCP)------->客户机获得IP------>通过小型文件传输协议(TFTP) 从TFTP Server上下载PEX引导文件------>启动引导程序进入安装界面------>根据default文件，通过超文本传送协议(HTTP)去HTTP Server下载ks.cfg文件----->根据ks.cf文件去HTTP Server下载RPM包并自动安装系统------>完成安装。

本次实验环境介绍：虚拟机：VMware Workstation 9.02 for windows服务端centOS5.8 ,IP 192.168.1.200，虚拟机网卡设置为桥接模式。

执行 PXE + KickStart安装要求：• DHCP 服务用来给客户机分配IP；• TFTP 服务用来存放PXE的相关文件，比如：系统引导文件；• HTTP 服务用来存放系统安装文件；• KickStart用来生成ks.cfg配置文件；• 带有一个 PXE 支持网卡的将安装的主机；安装步骤1.构建本地yum源[可选==如果VM不能连接到internet][root@localhost ~]# mount /dev/cdrom /media[root@localhost ~]# mv /etc/yum.repos.d/ ~[root@localhost ~]# vim /etc/yum.repos.d/local-source.repo[rhel-source]name=RHEL 6.2 Local Sourcebaseurl=file:///mediaenabled=1gpgcheck=02.安装相关软件包[root@localhost ~]# yum -y install dhcp httpd tftp-server system-config-kickstart3.创建安装源目录[root@localhost ~]# mkdir /var/www/html/centos54.挂载安装ISO安装源[root@localhost ~]# echo "/dev/cdrom /var/www/html/centos5 iso9660 \ defaults 0 0" >> /etc/fstab[root@localhost ~]# mount -a5.创建pxelinux.cfg目录[root@localhost ~]# mkdir /tftpboot/pxelinux.cfg6.拷贝PXE启动相关文件[root@localhost ~]# cp /usr/lib/syslinux/pxelinux.0 /tftpboot/[root@localhost ~]# cp /var/www/html/centos5/isolinux/isolinux.cfg \/tftpboot/pxelinux.cfg/default[root@localhost ~]# cp /var/www/html/centos5/isolinux/* /tftpboot/7.生成KS文件（图形界面下）[root@localhost ~]# system-config-kickstart[root@localhost ~]# cp ks.cfg /var/www/html/7.1.一个KS示例文件-CentOS5.8[root@localhost ~]# cat /var/www/html/ks.cfg#platform=x86, AMD64, Intel EM64T# System authorization informationauth --useshadow --enablemd5# System bootloader configuration#key --skip #如果是RHEL需要添加这行bootloader --location=mbr# Clear the Master Boot Recordzerombr# Partition clearing informationclearpart --all --initlabel# Use text mode installtext# Firewall configurationfirewall --enabled --ssh --trust=eth0,eth1# Run the Setup Agent on first bootfirstboot --disable# System keyboardkeyboard us# System languagelang en_US# Installation logging levellogging --level=info# Use network installationurl --url=http://192.168.1.200/centos5# Network informationnetwork --bootproto=dhcp --device=eth0 --onboot=onnetwork --bootproto=dhcp --device=eth1 --onboot=on#Root passwordrootpw --iscrypted $1$TrBGQ8pS$H3SgzJS1uofc0UXlq0h.4.# SELinux configurationselinux --permissive# System timezonetimezone --isUtc America/New_York# Install OS instead of upgradeinstall# X Window System configuration informationxconfig --defaultdesktop=GNOME --depth=24 --resolution=1280x800 # Disk partitioning informationpart /boot --bytes-per-inode=4096 --fstype="ext3" --size=500 part swap --bytes-per-inode=4096 --fstype="swap" --size=16000 part / --bytes-per-inode=4096 --fstype="ext3" --grow --size=1%packages@admin-tools@base#root默认密码：1234%^&*8.指定KS文件，编辑/tftpboot/pxelinux.cfg/default 添加：append initrd=initrd.img ks=http://192.168.1.200/ks.cfg修改完成后需要:wq!强制保持退出8.1.一个default示例文件：[root@localhost ~]# cat /tftpboot/pxelinux.cfg/defaultdefault linuxprompt 1timeout 60display boot.msgF1 boot.msgF2 options.msgF3 general.msgF4 param.msgF5 rescue.msglabel linuxkernel vmlinuzappend initrd=initrd.img ks=http://192.168.1.200/ks.cfglabel textkernel vmlinuzappend initrd=initrd.img textlabel kskernel vmlinuzappend ks initrd=initrd.imglabel locallocalboot 1label memtest86kernel memtestappend -9.创建并修改DHCP配置文件[root@localhost ~]# \cp /usr/share/doc/dhcp-3.0.5/dhcpd.conf.sample \ /etc/dhcpd.conf9.1.一个DHCP示例文件[root@localhost ~]# cat /etc/dhcpd.confddns-update-style interim;ignore client-updates;#添加下面两行next-server 192.168.1.200; #此处为PXE服务IPfilename "pxelinux.0";subnet 192.168.1.0 netmask 255.255.255.0 {# --- default gatewayoption routers 192.168.1.1;option subnet-mask 255.255.255.0;option nis-domain "";option domain-name "";option domain-name-servers 8.8.8.8;option time-offset -18000; # Eastern Standard Time# option ntp-servers 192.168.1.1;# option netbios-name-servers 192.168.1.1;# --- Selects point-to-point node (default is hybrid). Don't change this unless# -- you understand Netbios very well# option netbios-node-type 2;#DHCP地址池：从192.168.1.130到192.168.1.253.range dynamic-bootp 192.168.1.130 192.168.1.253;default-lease-time 21600;max-lease-time 43200;}10.关闭SELinux、防火墙[root@localhost ~]# setenforce 0[root@localhost ~]# sed -i 's/SELINUX=enforcing/SELINUX=disabled/' \ /etc/selinux/config[root@localhost ~]# service iptables stop[root@localhost ~]# chkconfig iptables off11.启动相关服务，设置开机自启动[root@localhost ~]# service httpd restart[root@localhost ~]# service dhcpd restart[root@localhost ~]# service xinetd restart[root@localhost ~]# chkconfig tftp on[root@localhost ~]# chkconfig httpd on[root@localhost ~]# chkconfig dhcpd on[root@localhost ~]# chkconfig xinetd on[root@localhost ~]# sed -i 's/disable = yes/disable = no/' \/etc/xinetd.d/tftp======配置完成-----配置完成后用网线接入交换机，客户机设置网络启动即可实现批量自动安装。

AD服务器加密认证Kerberos 实现文档目录1.环境要求 (2)2.服务器安装步骤 (2)1.AD服务器安装步骤 (2)2.Kerberos服务器安装 (14)3.测试demo (16)1.环境要求AD服务器：windows server 2008 R2 64位Kerberos服务器：centos7 64位代码测试环境：ubuntu14.04 64 位2.服务器安装步骤1.AD服务器安装步骤1.安装windows server 20082.首次登录需要修改密码，这个密码要是一个强密码，这里设置的是iamTEST2018@3.安装DNS服务器1)开始菜单-->管理工具-->服务器管理器2)选择左侧树形菜单“角色”节点，右键“添加角色”3)点击下一步4）勾选DNS服务器，点击下一步5）点击下一步6）点击安装7）安装成功8）重启服务器生效4.安装AD服务器管理工具1)开始菜单-->运行-->输入命令“dcpromo”点击“确定”按钮2)进入安装界面3)弹出Active Directory 域服务安装向导，并点击“下一步”按钮4)点击下一步5)选择“在新林中新建域”并点击“下一步”按钮6)输入域名（FQDN）并点击“下一步”按钮，这里输入的是： 这个域名会在网络中验证是否重名，7)林功能级别选择“Windows Server 2008 R2”并点击“下一步”按钮8)点击“下一步”按钮9)点击“下一步”按钮10)输入Administrator密码和确认密码，点击“下一步”按钮（这里尽量输入和你的计算机相同的密码，也就是iamTEST2018@，因为一旦创建域，你的这一台电脑也在域中了，如果你在AD服务器中修改Administrator账号，有可能登录不上这台电脑，这块有个坑）11)点击“下一步”按钮12)点击“完成”按钮，重启服务器5.其他设置1）设置AD服务器的主机名和域名（FQDN）2）点击计算机右键属性，点击更改设置，点击更改按钮3）修改计算机名，本次修改为addemo（计算机全名为）4）获取服务器的ip地址（192.168.7.130）5）重启服务器生效。

Kerberos安装及使⽤2. 安装 Kerberos2.1. 环境配置 安装kerberos前，要确保主机名可以被解析。

主机名内⽹IP ⾓⾊Vmw201 172.16.18.201 Master KDCVmw202 172.16.18.202 Kerberos clientVmw203 172.16.18.203 Kerberos client2.2 Configuring a Kerberos Server2.2.1 确保环境可⽤ 确保所有的clients与servers之间的时间同步以及DNS正确解析2.2.2 选择⼀个主机来运⾏KDC，并在该主机上安装krb-5libs,krb5-server,已经krb5-workstation:yum install krb5-server krb5-libs krb5-auth-dialog KDC的主机必须⾮常⾃⾝安全，⼀般该主机只运⾏KDC程序。

本⽂中我们选择vmw201作为运⾏KDC的主机。

在安装完上述的软件之后，会在KDC主机上⽣成配置⽂件/etc/krb5.conf和/var/kerberos/krb5kdc/kdc.conf，它们分别反映了realm name 以及domain-to-realm mappings。

2.2.3 配置kdc.conf默认放在 /var/kerberos/krb5kdc/kdc.conf。

或者通过覆盖KRB5_KDC_PROFILE环境变量修改配置⽂件位置。

配置⽰例：[kdcdefaults]kdc_ports = 88kdc_tcp_ports = 88[realms] = {#master_key_type = aes256-ctsacl_file = /var/kerberos/krb5kdc/kadm5.acldict_file = /usr/share/dict/wordsadmin_keytab = /var/kerberos/krb5kdc/kadm5.keytabmax_renewable_life = 7dsupported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal}说明：:是设定的realms。

Kerberos基本原理、安装部署及⽤法1. 概述 Kerberos是⼀种认证机制。

⽬的是，通过密钥系统为客户端/服务器应⽤程序提供强⼤的认证系统：保护服务器防⽌错误的⽤户使⽤，同时保护它的⽤户使⽤正确的服务器，即⽀持双向验证；Kerberos协议的整个认证过程实现不依赖于主机操作系统的认证，⽆需基于主机地址的信任，不要求⽹络上所有主机的物理安全，并假定⽹络上传送的数据包可以被任意地读取、修改和插⼊数据，简⽽⾔之，Kerberos通过传统的加密技术（共享密钥）实现了⼀种可信任的第三⽅认证服务。

　 KDC（key distribution center）：是⼀个⽹络服务，提供ticket和临时会话密钥。

AS（Authentication Server）：认证服务器 TGS（Ticket Grantion Server）：许可证服务器 TGT：Ticket-grantion Ticket realm name：包含KDC和许多客户端的Kerberos⽹络，类似于域，俗称为领域；也是principal的⼀个“容器”或者“命名空间”。

相对应的，principal的命名规则是"what_name_you_like@realm"。

在kerberos，⼤家都约定俗成⽤⼤写来命名realm，⽐如“” password：某个⽤户的密码，对应于kerberos中的master_key。

password可以存在⼀个keytab⽂件中。

所以kerberos中需要使⽤密码的场景都可以⽤⼀个keytab作为输⼊。

credential：credential是“证明某个⼈确定是他⾃⼰/某⼀种⾏为的确可以发⽣”的凭据。

在不同的使⽤场景下，credential的具体含义也略有不同：对于某个principal个体⽽⾔，他的credential 就是他的password；在kerberos认证的环节中，credential就意味着各种各样的ticket。