02：安装 Kerberos

1.1 环境介绍

　　  参考博客：https://www.cnblogs.com/xiaodf/p/5968178.html　　　　　　

　　　　　　　　https://www.douban.com/note/701660289/
　　　　　　　　https://www.freebsd.org/doc/zh_CN/books/handbook/kerberos5.html

　　1、环境介绍

# 注：安装kerberos前，要确保主机名可以被解析。
主机名                      内网IP             角色
linux-node1.example.com    192.168.56.11     Master KDC
linux-node1.example.com    192.168.56.12     Kerberos client
linux-node1.example.com    192.168.56.13     Kerberos client

1.2 在node1中配置安装KDC

　　  注：确保所有的clients与servers之间的时间同步以及DNS正确解析

　　1、安装krb5-server和krb5-workstation（node1）

　　　　　　yum install krb5-server krb5-libs krb5-auth-dialog krb5-workstation -y

　　　　　　1） 在安装完上述的软件之后，会在KDC主机上生成配置文件/etc/krb5.conf和/var/kerberos/krb5kdc/kdc.conf

　　　　　　2）它们分别反映了realm name 以及 domain-to-realm mappings。

　　2、配置kdc.conf

　　　　　　vim /var/kerberos/krb5kdc/kdc.conf  

　　　　　　注：在kdc.conf文件中一定要指定kdc的主机名（kdc = linux-node1.example.com）

[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
 
[realms]
HADOOP.COM = {
#master_key_type = aes256-cts
acl_file = /var/kerberos/krb5kdc/kadm5.acl
dict_file = /usr/share/dict/words
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
max_renewable_life = 7d
supported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
}

# 1. [realms]：HADOOP.COM，是设定的realms，名字随意，Kerberos可以支持多个realms
# 2. master_key_type: 和supported_enctypes默认使用aes256 - cts。
# 3. acl_file: 标注了admin的用户权限。文件格式是
# 4. admin_keytab:KDC进行校验的keytab，后文会提及如何创建。
# 5. supported_enctypes: 支持的校验方式，注意把aes256 - cts去掉。

　　3、配置krb5.conf

　　　　　　vim /etc/krb5.conf

　　　　　　1）/etc/krb5.conf: 包含Kerberos的配置信息。
　　　　　　2）例如，KDC的位置，Kerberos的admin的realms 等，需要所有使用的Kerberos的机器上的配置文件都同步。

[logging]
default=FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
 
[libdefaults]
default_realm = HADOOP.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
# udp_preference_limit = 1
 
[realms]
HADOOP.COM = {
kdc = linux-node1.example.com
admin_server = linux-node1.example.com
}
 
[domain_realm]
.hadoop.com = HADOOP.COM
hadoop.com = HADOOP.COM

# [logging]：表示server端的日志的打印位置
# [libdefaults]：每种连接的默认配置，需要注意以下几个关键的小配置
# default_realm = HADOOP.COM 默认的realm，必须跟要配置的realm的名称一致。
# udp_preference_limit = 1 禁止使用udp可以防止一个Hadoop中的错误
# oticket_lifetime表明凭证生效的时限，一般为24小时。
# orenew_lifetime表明凭证最长可以被延期的时限，一般为一个礼拜。当凭证过期之后， 对安全认证的服务的后续访问则会失败。
# [realms]:列举使用的realm。
# kdc：代表要kdc的位置。格式是 机器:端口
# admin_server:代表admin的位置。格式是机器:端口
# default_domain：代表默认的域名
# [appdefaults]:可以设定一些针对特定应用的配置，覆盖默认配置。

　　4、创建/初始化Kerberos database

　　　　　　[root@vmw201 ~]# /usr/sbin/kdb5_util create -s -r HADOOP.COM

　　　　　　1）其中，[-s]表示生成stash file，并在其中存储master server key（krb5kdc）；
　　　　　　2）还可以用[-r]来指定一个realm name —— 当krb5.conf中定义了多个realm时才是必要的。
　　　　　　3）保存路径为/var/kerberos/krb5kdc 如果需要重建数据库，将该目录下的principal相关的文件删除即可
　　　　　　4）在此过程中，我们会输入database的管理密码，这里设置的密码一定要记住，如果忘记了，就无法管理Kerberos server。

　　5、当Kerberos database创建好后，可以看到目录 /var/kerberos/krb5kdc 下生成了几个文件

[root@linux-node1 ~]# ll /var/kerberos/krb5kdc
total 28
-rw------- 1 root root   22 Jan 29 11:59 kadm5.acl
-rw------- 1 root root  432 Mar 26 02:51 kdc.conf
-rw------- 1 root root  451 Mar 26 02:50 kdc.conf.bak
-rw------- 1 root root 8192 Mar 26 03:06 principal
-rw------- 1 root root 8192 Mar 26 03:06 principal.kadm5
-rw------- 1 root root    0 Mar 26 03:06 principal.kadm5.lock
-rw------- 1 root root    0 Mar 26 03:06 principal.ok

　　6、添加database administrator来管理 kerberos 

　　　　　　1）关于 kerberos 的管理，可以使用 kadmin.local 或 kadmin，至于使用哪个，取决于账户和访问权限

　　　　　　　　　　如果有访问 kdc 服务器的 root 权限，但是没有 kerberos admin 账户，使用 kadmin.local
　　　　　　　　　　如果没有访问 kdc 服务器的 root 权限，但是用 kerberos admin 账户，使用 kadmin

[root@linux-node1 krb5kdc]# /usr/sbin/kadmin.local -q "addprinc admin/admin"
Authenticating as principal root/admin@HADOOP.COM with password.
WARNING: no policy specified for admin/admin@HADOOP.COM; defaulting to no policy
Enter password for principal "admin/admin@HADOOP.COM": 
Re-enter password for principal "admin/admin@HADOOP.COM": 
Principal "admin/admin@HADOOP.COM" created.

　　7、为database administrator设置ACL权限
　　　　　　1）在KDC上我们需要编辑acl文件来设置权限，该acl文件的默认路径是 /var/kerberos/krb5kdc/kadm5.acl（也可以在文件kdc.conf中修改）。
　　　　　　2）Kerberos的kadmind daemon会使用该文件来管理对Kerberos database的访问权限。
　　　　　　3）对于那些可能会对pincipal产生影响的操作，acl文件也能控制哪些principal能操作哪些其他pricipals。

　　　　　　vim /var/kerberos/krb5kdc/kadm5.acl

*/admin@HADOOP.COM      *
# 代表名称匹配*/admin@HADOOP.COM 都认为是admin，权限是 * 代表全部权限。

　　8、在master KDC启动Kerberos daemons

# 1、手动启动：
[root@vmw201 /]# service krb5kdc start
[root@vmw201 /]# service kadmin start

# 2、设置开机自动启动：
[root@vmw201 /]# chkconfig krb5kdc on
[root@vmw201 /]# chkconfig kadmin on

　　　　现在KDC已经在工作了，这两个daemons将会在后台运行，可以查看它们的日志文件（/var/log/krb5kdc.log 和 /var/log/kadmind.log）。
　　　　可以通过命令kinit来检查这两个daemons是否正常工作。

 1.3 安装kerberos客户端

　　1、Installing Kerberos Client(CentOS7可以省略此步骤)

　　　　　　yum install krb5-workstation krb5-libs krb5-auth-dialog       # centos7中默认有krb5.conf文件
　　2、配置krb5.conf

　　　　　　注：配置这些主机上的/etc/krb5.conf，这个文件的内容与KDC中的文件保持一致即可。

[logging]
default=FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
 
[libdefaults]
default_realm = HADOOP.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
# udp_preference_limit = 1
 
[realms]
HADOOP.COM = {
kdc = linux-node1.example.com
admin_server = linux-node1.example.com
}
 
[domain_realm]
.hadoop.com = HADOOP.COM
hadoop.com = HADOOP.COM

 1.4 kerberos使用测试

　　1、创建Kerberos Admin(管理员账号)

[root@linux-node1 krb5kdc]# /usr/sbin/kadmin.local -q "addprinc admin/admin"
Authenticating as principal root/admin@HADOOP.COM with password.
WARNING: no policy specified for admin/admin@HADOOP.COM; defaulting to no policy
Enter password for principal "admin/admin@HADOOP.COM": 
Re-enter password for principal "admin/admin@HADOOP.COM": 
Principal "admin/admin@HADOOP.COM" created.

　　2、新增主体（KDR）

　　　　　　注：可以把主体简单理解为用户，只是它的id构成有自己的规则。（我的主体是admin@HADOOP.COM）

# 法1：以交互方式增加主体：
[root@linux-node1 ~]# kadmin.local 
kadmin.local:  addprinc webb

# 法2：或者以单行命令的方式增加主体：
$ kadmin.local -q "addprinc webb@HADOOP.COM"                  (增加主体webb)
$ kadmin.local -q "cpw -pw chnsys@2016 webb@HADOOP.COM"       (将webb的密码设置为chnsys@2016)

　　3、生成keytab（KDR）

　　　　　　注：为主体webb@AMBARI.APACHE.ORG生成keytab文件，文件名是webb.keytab（当前目录下生成）

[root@linux-node1 ~]# kadmin.local
kadmin.local:  ktadd -norandkey -k webb.keytab webb@HADOOP.COM
'''
上面的-norandkey参数使得keytab的生成不改变该主体的密码。
否则，生成keytab后，需要重新设定密码，而重新设定密码后，之前生成的keytab又失效了。
另一种生成keytab的方式是使用ktutil命令(参考文档Kerberos使用(client)  https://imaidata.github.io/blog/kerberos_client/ )。
'''

# 使用keytab文件登录（而不是密码）：
[root@linux-node1 ~]# cd /root/                                     # 切入到webb.keytab存放文件夹
[root@linux-node1 ~]# kinit -k -t webb.keytab webb                  # 使用keytab文件登录

　　4、将上一步生成.keytab文件，scp至target_server的/etc/krb5.keytab

　　　　　　注： krb5 client默认使用的密钥表文件为/etc/krb5.keytab，可以通过配置文件/etc/krb5.conf中 [libdefaults] 的 default_keytab_name配置项修改

　　　　　　scp -r  /root/webb.keytab  root@192.168.56.12:/etc/krb5.keytab

 1.5 kerberos常用命令

　　1、基础常用命令

　　　　　　kinit admin/admin@EXAMPLE.COM           # 登录

　　　　　　klist                                                               # 查询登录状态 klist

　　　　　　kdestroy                                                        # 退出 kdestroy　　

　　2、用户管理常用命令

[root@linux-node1 ~]# kadmin.local               # 登录kerberos 管理后台
kadmin.local: listprincs                         # 查看当前所有认证用户
kadmin.local: addprinc test                      # 创建认证用户test
kadmin.local: delprinc test                      # 删除认证用户test
kadmin.local: listprincs                         # 确认test用户已删除
change_password admin/admin@EXAMPLE.COM          # 修改用户密码

11111111111111111111122222222222222222