keytab,key table。上一篇的Principal里面,我们了解到了,Principal是kerberos的认证主体,相当于是你的账号。而keytab,可以粗浅的理解为SSH里面对应账号的私钥,而不同的是,SSH的私钥每个账号会有一个,而keytab是可以多个principal合并为一个的。原因是,keytab并不是作为验证用户来使用的,而是与密码的作用一样,用来替代密码做 tgt 数据加密来使用的。因此,在后面的安装配置介绍里面,生成keytab会让principal使用随机密码,而无论是你或者principal的服务使用者,都是不会知道随机密码内容的。但是由于keytab里面存储了加密的密码,所以,它可以代替每次认证手工输入密码的过程,这对于受保护的服务很重要,我们不能让一个后台常驻的服务程序不停的输入密码去跟KDC交互。所以,如果一时理解不了,你暂时可以把keytab做为ssh免密码登录的私钥来看待。
然后说一下Kerberos的安装配置过程,这个部分极其简单。
首先需要一台服务器做KDC,对于centos来说,只需要
yum -y install krb5-server
KDC的远程管理在rpm里面是放在客户端进行的,在安装workstation的同时就会安装kadmin,而本地管理的kadmin.local是放在server里面的,如果是本地管理kerberos的KDC,就不需要安装workstation。
以Hadoop集群为例,我在某个master节点安装了krb5-server,然后这些机器的所有节点既是受保护的服务,同时也是客户端,那么所有节点,包括安装kdc的master节点,都需要安装 krb5-workstation 包。
假设如下
192.168.1.2 master.hadoop [krb5-server], [namenode, resourcemanager, historyserver]
192.168.1.3 slave01.hadoop [krb5-workstation], [datanode, nodemanager]
192.168.1.4 slave02.hadoop [krb5-workstation], [datanode, nodemanager]
192.168.1.254 client01 [krb5-workstation], [hadoop-client]
作为client,主机名我并没有使用带有域名的主机名。事实上,我也没有配置这台机器的域名信息,那么它的FQDN实际上就是client01。
然后,先到master上配置krb5.conf,目标在/etc/krb5.conf,这个配置文件是kdc和workstation共用的,而kdc单独的配置文件并不在这里。
这个部分是配置KDC Server
;/etc/krb5.conf
[libdefaults]
default_realm = HADOOP.COM
dns_lookup_kdc = false
dns_lookup_realm = false
ticket_lifetime = 7d
;票据的缓存间隔,超期需要重新认证
renew_lifetime = 14d
;票据的自动更新间隔
forwardable = true
default_tgs_enctypes = rc4-hmac
default_tkt_enctypes = rc4-hmac
permitted_enctypes = rc4-hmac
udp_preference_limit = 1
kdc_timeout = 3000
[realms]
HADOOP.COM =
{
kdc = master.hadoop
admin_server = master.hadoop
}
[logging]
default = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
kdc = FILE:/var/log/krb5kdc.log接下来需要配置kdc专有的配置文件,目标在/var/kerberos/krb5kdc/kdc.conf
;/var/kerberos/krb5kdc/kdc.conf
[kdcdefaults]
kdc_ports = 88
;udp端口
kdc_tcp_ports = 88
;tcp端口
[realms]
HADOOP.COM =
{
acl_file = /var/kerberos/krb5kdc/kadm5.acl
dict_file = /usr/share/dict/words
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
max_renewable_life = 30d
}然后初始化KDC的数据库,如同mysql安装完以后需要运行mysql_install_db,或者postgresql运行pgsql initdb一样,kdc也内建了嵌入式数据库,首次安装需要进行初始化。
kdb5_util create -s
接下来编辑kadm5.acl
默认情况下,特定principal的管理员主体的权力是很大的,但是这样不好,我们还是希望不同的人具有不同的权限,所以最好是修改kadm5.acl,让不同principal的管理员可以管理不同的东西。
下面是默认状态下 /var/kerberos/krb5kdc/kadm5.acl
*/admin@HADOOP.COM *
对这个文件的解析会分为两列进行,第一列的具有管理员资格的principal,第二列是权限。
默认kadm5.acl的含义如下
*/admin@HADOOP.COM: 在HADOOP.COM域内任意以admin主机名认证的主体
*:所有权限
权限可选择的配置列表如下:
a: 允许增加principal或访问策略 A: 不允许增加principal或访问策略 c: 允许变更principals的密码 C: 不允许变更princials的密码 d: 允许删除principals或策略 D: 不允许删除principals或策略 i: 允许查看数据库 I: 不允许查看数据库 l: 允许列出principals或策略列表 L: 不允许列出principals或策略 m: 允许修改principals或策略 M: 不允许修改principals或策略 p: 允许传播(propagation)principal数据库 P: 不允许传播principal数据库 u: 允许创建使用PAM进行密码验证的单一组件用户principal U: 否决u的权限 x: a,d,m,c,i,l权限的快捷方式 *: 跟x一样
所以,我们的kadm5.acl可以改的更安全一些,比如
root/admin@HADOOP.COM * ;root/admin 可以在 kadmin 里做任何事 xianglei/master.hadoop@HADOOP.COM aml ;master.hadoop主机上的xianglei账号,可以在 kadmin 里增加,修改,查看principals列表,但不能删除,传播,查看数据库内容,变更密码等操作 list/*@HADOOP.COM l ;任意主机上的 list 用户只能看,别的啥也不能干
当然,除了管理员账号,这里不应该出现任何其他普通principal的账号。
关于kadm5.acl文件,其实对于安全性来说还是挺重要的,这是对管理员的管理,但是网上没看见任何一篇中文文章详细讲解了这个文件的配置,所以,还是我开一个先河吧,其他人复制粘贴我的好了。对于熟悉kerberos的人来说,默认不修改的kerberos的配置还是有机可乘的,但是我不打算把方法公布出来。怎么把kerberos本身的管理做的更好,都在这个文件里了。我们需要知道的是,kadmin.local进入kerberos管理是不需要密码的,所以,如何使用这个acl是你的问题了。
然后我们在kerberos数据库里来添加上面这三个账号
kadmin.local Authenticating as principal root/admin@HADOOP.COM with password. kadmin.local: kadmin.local: addprinc xianglei/master.hadoop@HADOOP.COM WARNING: no policy specified for xianglei/master.hadoop@HADOOP.COM; defaulting to no policy Enter password for principal "xianglei/master.hadoop@HADOOP.COM": Re-enter password for principal "xianglei/master.hadoop@HADOOP.COM": add_principal: Principal or policy already exists while creating "xianglei/master.hadoop@HADOOP.COM". #我们没有使用随机密码,这意味着你必须输入两次密码来做验证,如果不生成keytab文件,那么xianglei在master.hadoop上每次认证KDC都需要输入该密码。 kadmin.local: addprinc -randkey list/master.hadoop@HADOOP.COM WARNING: no policy specified for list/master.hadoop@HADOOP.COM; defaulting to no policy Principal "list/master.hadoop@HADOOP.COM" created. #在这里,我们使用了随机密码,这意味着你不必每次登录都输入密码,但一定要制作keytab文件了,关于如何制作keytab文件,我想放到后面再说。
然后就可以启动kdc和kadmin了
service krb5kdc start service kadmind start
最后一步是将/etc/krb5.conf分发到其余的几台服务器上,但其他不需要启动任何服务进程。
写累了,今天不写了。
原文地址:http://blog.51cto.com/slaytanic/2103097
