Kerberos配置

【⼤数据权限分配】⼀、kerberos⼀、kerberos概念密钥分发中⼼，管理⽤户⾝份信息，进⾏⾝份认证。

⼆、安装选择集群中的⼀台主机（hadoop102）作为Kerberos服务端，安装KDC，所有主机都需要部署Kerberos客户端。

选择hadoop102 安装服务器yum install -y krb5-server所有机器安装客户端yum install -y krb5-workstation krb5-libs修改服务端配置⽂件vim /var/kerberos/krb5kdc/kdc.conf[kdcdefaults]kdc_ports = 88kdc_tcp_ports = 88[realms] = {#master_key_type = aes256-ctsacl_file = /var/kerberos/krb5kdc/kadm5.acldict_file = /usr/share/dict/wordsadmin_keytab = /var/kerberos/krb5kdc/kadm5.keytabsupported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal }修改所有客户单主机vim /etc/krb5.conf# Configuration snippets may be placed in this directory as wellincludedir /etc/krb5.conf.d/[logging]default = FILE:/var/log/krb5libs.logkdc = FILE:/var/log/krb5kdc.logadmin_server = FILE:/var/log/kadmind.log[libdefaults]dns_lookup_realm = falsedns_lookup_kdc = falseticket_lifetime = 24hrenew_lifetime = 7dforwardable = truerdns = falsepkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crtdefault_realm = #default_ccache_name = KEYRING:persistent:%{uid}[realms] = {kdc = hadoop102admin_server = hadoop102}[domain_realm]# = # = 初始化kdc数据库kdb5_util create -s修改服务端配置⽂件vim var/kerberos/krb5kdc/kadm5.acl*/admin@ *启动kdc服务systemctl start krb5kdcsystemctl enable krb5kdc启动kerberos的管理，是kdc数据访问⼊⼝systemctl start kadminsystemctl enable kadmin在服务端执⾏以下命令，并输⼊密码kadmin.local -q "addprinc admin/admin"三、操作kerberos1.本地登录⽆需认证kadmin.local远程登录需要主题认证2.创建kerberos主体登录数据库后执⾏创建test这个主体kadmin.local: addprinc test查看所有主体kadmin.local: list_principals3.认证操作1.输⼊下⾯指令kinit test按提⽰输⼊密码查看凭证klist2.密钥⽂件认证⽣成主体test的keytab⽂件到指定⽬录/root/test.keytabkadmin.local -q "xst -norandkey -k /root/test.keytab test@"使⽤keytab进⾏认证kinit -kt /root/test.keytab test查看凭证klist⼆、创建haoop系统⽤户为Hadoop开启Kerberos，需为不同服务准备不同的⽤户，启动服务时需要使⽤相应的⽤户。

Kafka Kerberos 认证使用流程一、简介Kafka 是一个高吞吐量的分布式发布订阅消息系统，其使用的 KDC (Key Distribution Center) 是 Kerberos 认证系统的一部分。

Kerberos 是一个网络认证协议，用于安全地认证用户和服务。

Kafka Kerberos 认证能够确保在 Kafka 集裙中传输的数据得到安全保障，防止未经授权的用户获取敏感数据。

本文将介绍 Kafka Kerberos 认证的使用流程。

二、前提条件在进行 Kafka Kerberos 认证之前，需要满足一些前提条件：1. 安装 Kafka 集裙2. 配置 Kerberos 认证3. 已经拥有 Kerberos 主体和密钥tab文件三、 Kafka Kerberos 认证配置1. 生成 Kafka 配置文件需要生成 Kafka 配置文件，其中包括了 Kerberos 认证的相关配置。

在配置文件中，需要指定 Kerberos 的服务主体和 keytab 文件的位置等信息。

```security.protocol=SASL_PL本人NTEXTsasl.mechanism=GSSAPI=kafkasasl.jaas.config.sun.security.auth.module.Krb5LoginModule required \useKeyTab=true \keyTab="/path/to/your/keytab/file" \principal="your_kafka_principalYOUR_REALM";```2. 启动 Kafka 服务在配置完成后，启动 Kafka 服务，使其能够使用 Kerberos 认证进行安全通信。

3. 配置 Producer 和 Consumer接下来，需要配置 Kafka Producer 和 Consumer 来使用 Kerberos认证，以确保安全通信。

1前言假设你的Openldap已经配置好并成功运行，本文只是介绍如何使Openldap使用Kerberos 来验证用户身份。

本配置在F C5上通过，在使用r h e时，很可能会有不同的情况。

2名词解释 K e r b e r o s 基于共享密钥的安全机制，由MIT发明，现在已经被标准化，最新是版本5，简称krb5。

Kerberos特别适合局域网络，Windows2k及以上系统的安全机制即基于kerberos。

Kerberos 有多个实现版本，本文使用的一个它的实现叫做m i t-k e r b e r o s。

S A S L 简单认证和安全层(Simple Authentication and Security Layer)。

也是一套RFC定义的标准。

它的核心思想是把用户认证和安全传输从应用程序中隔离出来。

像SMTP协议在定义之初都没有考虑到用户认证等问题，现在SMTP可以配置使用SASL来完成这方面的工作。

O p e n l d a p同样如此。

S A S L支持多种认证方法，比如 A N O N Y M O U S:无需认证。

P L A I N：明文密码方式(c l e a r t e x t p a s s w o r d) DIGEST-MD5: HTTP Digest 兼容的安全机制，基于MD5，可以提供数据的安全传输层。

这个是方便性和安全性结合得最好的一种方式。

也是默认的方式。

GSSAPI：Generic Security Services Application Program Interface Gssapi本身是一套API，由IETF标准化。

其最主要也是着名的实现是基于Kerberos的。

所以一般说到g s s a p i都暗指k e r b e r o s实现。

E X T E R N A L：认证已经在环境中实现了，比如S S L/T L S,I P S e c.C y r u s S A S L C y r u s-S A S L是S A S L协议最常用的一个实现。

Kerberos主从配置文档1. Kerberos主从同步机制3.1 环境我们在两个备用NameNode节点上实现Kerberos主从，并在其它需要接入认证的主机上安装Kerberos客户端。

∙操作系统：CentOS 6.7/RedHart 6.7∙运行用户：root3.2安装包我们是基于RedHart 6.7/CentOS 6.7操作系统，相关Kerberos安装包可在系统包中获取，相关rpm包列表如下:krb5-app1-clients*.rpmkrb5-libs*.rpmkrb5-app1-servers*.rpmkrb5-pkinit-openssl*.rpmkrb5-auth-dialog*.rpmkrb5-server*.rpmkrb5-dev1*.rpmkrb5-server-ldap*.rpmkrb5-workstation*.rpm3.2 安装过程3.2.1 准备工作确认添加主机名解析到/etc/hosts文件中。

$ cat /etc/hosts127.0.0.1 localhost111.111.241.210 - master KDC111.111.241.211 - slave KDC注意：h o s t n a m e请使用小写，要不然在集成k e r b e r o s时会出现一些错误。

3.2.2 安装 kdc server在KDC (这里是master 和slave) 上安装包krb5、krb5-server 和krb5-client。

rpm -ivh krb5-server*.rpmrpm – ivh krb5-libs*.rpmrpm -ivh krb5-auth-dialog*.rpmrpm -ivh krb5-workstation*.rpm在其他节点（kerberos 所有认证客户端）安装krb5-libs、krb5-workstationrpm – ivh krb5-libs*.rpmrpm -ivh krb5-workstation*.rpm3.2.3 修改配置文件kdc 服务器涉及到三个配置文件：/etc/krb5.conf/var/kerberos/krb5kdc/kdc.conf/var/kerberos/krb5kdc/kadm5.acl配置Kerberos 的一种方法是编辑配置文件/etc/krb5.conf。

组策略的管理（Kerberos策略的配置）3. Kerberos策略的配置Kerberos策略用于域用户账户，用于确定与Kerberos相关的设置，例如票证的有效期限和强制执行。

但Kerberos策略只能应用于域中的计算机中。

要设置Kerberos策略，可在“默认域安全设置”窗口中，依次选择“Windows设置”→“安全设置”→“账户策略”→“Kerberos 策略”选项。

（1）服务票证最长寿命该策略用来设置确定使用所授予的会话票证可访问特定服务的最长时间（以分钟为单位）。

该设置必须大于10分钟并且小于或等于用户票证最长寿命设置。

如果客户端请求服务器连接时出示的会话票证已过期，服务器将返回错误消息。

客户端必须从Kerberos V5密钥分发中心（KDC）请求新的会话票证。

然而一旦连接通过了身份验证，该会话票证是否仍然有效就无关紧要了。

会话票证仅用于验证和服务器的新建连接。

如果用于验证连接的会话票证在连接时过期，则当前的操作不会中断。

打开“服务票证最长寿命属性”对话框，选中“定义这个策略设置”复选框（如图17-35所示），然后设置最长时间即可。

其他几个策略的操作方式与此相同。

该策略用来设置确定KerberosV5所允许的客户端时钟和提供Kerberos身份验证的Windows Server 2003域控制器上的时间的最大差值（以分钟为单位）。

为防止“轮番攻击”，KerberosV5在其协议定义中使用了时间戳。

为使时间戳正常工作，客户端和域控制器的时钟应尽可能地保持同步。

换言之，应该将这两台计算机设置成相同的时间和日期。

因为两台计算机的时钟常常不同步，所以管理员可使用该策略来设置KerberosV5所能接受的客户端时钟和域控制器时钟间的最大差值。

如果客户端时钟和域控制器时钟间的差值小于该策略中指定的最大时间差，那么在这两台计算机的会话中使用的任何时间戳都将被认为是可信的。

该设置并不是永久性的。

如果配置该设置后重新启动计算机，那么该设置将被还原为默认值。

java kerberos 通用认证方法【原创实用版3篇】目录（篇1）一、引言二、Kerberos 认证概述1.Kerberos 的历史和发展2.Kerberos 认证的基本原理三、Java Kerberos 认证配置1.Java Kerberos 认证流程2.Java Kerberos 认证配置步骤3.Java Kerberos 认证示例四、Java Kerberos 认证的优缺点1.优点2.缺点五、总结正文（篇1）一、引言在计算机网络领域，安全性一直是一个备受关注的话题。

为了保证数据的安全，各种加密和认证技术应运而生。

Kerberos 认证就是其中一种广泛应用的认证技术，尤其在 Java 领域。

本文将为您介绍 Java Kerberos 认证的方法和相关知识。

二、Kerberos 认证概述1.Kerberos 的历史和发展Kerberos 认证源于麻省理工学院（MIT），最早出现在 1970 年代。

随着网络技术的发展，Kerberos 认证逐渐成为一种重要的网络安全认证手段。

2.Kerberos 认证的基本原理Kerberos认证采用客户端/服务器模型。

用户首先向认证服务器（AS）发起认证请求，认证服务器会向用户发送一个临时证书。

然后，用户将这个临时证书带到目标服务器，目标服务器验证证书的有效性，如果证书有效，则允许用户访问资源。

三、Java Kerberos 认证配置1.Java Kerberos 认证流程Java Kerberos 认证主要包括以下几个步骤：（1）启动 Kerberos 客户端，并使用用户名和密码进行认证。

（2）获取临时证书。

（3）携带临时证书访问目标服务器。

（4）目标服务器验证临时证书的有效性，并根据验证结果决定是否允许用户访问资源。

2.Java Kerberos 认证配置步骤（1）安装 Kerberos 客户端。

（2）配置 Kerberos 客户端，包括设置 kerberos.properties 文件和 krb5.conf 文件。

Kerberos安装及使⽤2. 安装 Kerberos2.1. 环境配置 安装kerberos前，要确保主机名可以被解析。

主机名内⽹IP ⾓⾊Vmw201 172.16.18.201 Master KDCVmw202 172.16.18.202 Kerberos clientVmw203 172.16.18.203 Kerberos client2.2 Configuring a Kerberos Server2.2.1 确保环境可⽤ 确保所有的clients与servers之间的时间同步以及DNS正确解析2.2.2 选择⼀个主机来运⾏KDC，并在该主机上安装krb-5libs,krb5-server,已经krb5-workstation:yum install krb5-server krb5-libs krb5-auth-dialog KDC的主机必须⾮常⾃⾝安全，⼀般该主机只运⾏KDC程序。

本⽂中我们选择vmw201作为运⾏KDC的主机。

在安装完上述的软件之后，会在KDC主机上⽣成配置⽂件/etc/krb5.conf和/var/kerberos/krb5kdc/kdc.conf，它们分别反映了realm name 以及domain-to-realm mappings。

2.2.3 配置kdc.conf默认放在 /var/kerberos/krb5kdc/kdc.conf。

或者通过覆盖KRB5_KDC_PROFILE环境变量修改配置⽂件位置。

配置⽰例：[kdcdefaults]kdc_ports = 88kdc_tcp_ports = 88[realms] = {#master_key_type = aes256-ctsacl_file = /var/kerberos/krb5kdc/kadm5.acldict_file = /usr/share/dict/wordsadmin_keytab = /var/kerberos/krb5kdc/kadm5.keytabmax_renewable_life = 7dsupported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal}说明：:是设定的realms。

krb5参数
Kerberos 5（KRB5）是一种网络认证协议，用于安全地验证用户和服务的身份。

以下是一些常见的KRB5参数：
1. kdc：指定主要的Kerberos服务器地址。

2. admin_server：指定管理员的Kerberos服务器地址。

3. default_realm：指定默认的Kerberos域。

4. realm：指定特定的Kerberos域。

5. ticket_lifetime：指定票据的有效时间。

6. renew_lifetime：指定票据更新的有效时间。

7. forwardable：指定票据是否支持跨域转发。

8. proxiable：指定票据是否支持代理。

9. dns_lookup_realm：指定是否从DNS中查找Kerberos域。

10. dns_lookup_kdc：指定是否从DNS中查找Kerberos服务器。

11. clockskew：指定客户端和服务器之间的时间偏差允许的最
大值。

12. allow_weak_crypto：指定是否允许使用弱加密算法。

13. permitted_enctypes：指定允许的加密类型。

14. kdc_timeout：指定与KDC建立连接的超时时间。

15. udp_preference_limit：指定使用UDP协议与KDC通信的
首选限制。

这些参数通常可以在Kerberos的配置文件（通常是krb5.conf）中设置或修改。

请注意，具体参数的名称和可用选项可能会因不同的Kerberos实现而异。

python hive kerberos认证参数在数据分析和大数据处理领域，Python和Hive是两款非常流行的工具。

为了保证数据的安全性，在进行数据分析和处理时，Kerberos认证协议被广泛使用。

在本文中，我们将讨论如何在Python和Hive中设置Kerberos认证参数。

1. 安装Kerberos和相应的库在运行Python和Hive之前，我们需要先安装Kerberos和相关的库。

根据不同的操作系统，我们可以使用包管理器或从源代码编译来安装它们。

在安装之后，我们需要配置Kerberos的配置文件，并在Python 和Hive中正确地设置库的路径。

2. 设置Kerberos票据缓存在进行Kerberos认证时，我们使用Kerberos票据来验证用户的身份。

在Python和Hive中，我们需要设置一个票据缓存路径或使用内存模式来缓存票据。

对于Python，我们可以使用Kerberos库来设置票据缓存。

我们可以使用以下代码来设置票据缓存路径：```pythonfrom kerberos import GSSErrorimport kerberosimport ostry:kerberos.setup_ccache()except GSSError as e:os.environ['KRB5CCNAME'] = '/tmp/krb5cc_1000'```对于Hive，我们需要在集群中配置Hive服务器和客户端的krb5.conf文件。

我们还需要设置Hive客户端的缓存路径，在$HIVE_CONF_DIR/hive-site.xml中添加以下代码：```xml<property><name>hive.server2.authentication.kerberos.principal</name> <value>hive/*******************.COM</value><description>Principal for the HiveServer2 Kerberos principal. </description></property><property><name>hive.server2.authentication.kerberos.keytab</name> <value>/etc/krb5.keytab</value><description>Path to the keytab file for the HiveServer2 Kerberos principal. </description></property><property><name>hive.metastore.sasl.enabled</name><value>true</value></property><property><name>hive.server2.authentication.kerberos.ticket.renewal.int erval</name><value>3600000</value><description>Interval after which the TGT renewal check should be done. </description></property>```3. 连接Hive服务器在Python中连接Hive服务器时，我们需要使用thrift库和kerberos 库。