Menu

  • Home
  • Work
    • Cloud
      • Virtualization
      • IaaS
      • PaaS
    • Java
    • Go
    • C
    • C++
    • JavaScript
    • PHP
    • Python
    • Architecture
    • Others
      • Assembly
      • Ruby
      • Perl
      • Lua
      • Rust
      • XML
      • Network
      • IoT
      • GIS
      • Algorithm
      • AI
      • Math
      • RE
      • Graphic
    • OS
      • Linux
      • Windows
      • Mac OS X
    • BigData
    • Database
      • MySQL
      • Oracle
    • Mobile
      • Android
      • IOS
    • Web
      • HTML
      • CSS
  • Life
    • Cooking
    • Travel
    • Gardening
  • Gallery
  • Video
  • Music
  • Essay
  • Home
  • Work
    • Cloud
      • Virtualization
      • IaaS
      • PaaS
    • Java
    • Go
    • C
    • C++
    • JavaScript
    • PHP
    • Python
    • Architecture
    • Others
      • Assembly
      • Ruby
      • Perl
      • Lua
      • Rust
      • XML
      • Network
      • IoT
      • GIS
      • Algorithm
      • AI
      • Math
      • RE
      • Graphic
    • OS
      • Linux
      • Windows
      • Mac OS X
    • BigData
    • Database
      • MySQL
      • Oracle
    • Mobile
      • Android
      • IOS
    • Web
      • HTML
      • CSS
  • Life
    • Cooking
    • Travel
    • Gardening
  • Gallery
  • Video
  • Music
  • Essay

Ubuntu下使用Kerberos

15
Aug
2016

Ubuntu下使用Kerberos

By Alex
/ in Linux
/ tags Ubuntu
0 Comments
Kerberos简介

Kerberos是MIT开发的网络身份验证系统,利用它可以实现单点登陆。Kerberos引入以下概念:

术语 说明
Principal 被认证的实体,可以是用户、计算机、某台计算机提供的服务
Instances 用于识别某些服务类、特殊的管理性实体
Realms 安全域,类似于Windows的工作组、域之类的概念,通常使用全大写的域名表示
KDC

密钥分发中心(Key Distribution Center),包含了:

  1. 关于所有实体的数据库
  2. 一个认证服务器
  3. 一个票据授予服务器

对于每个安全域,至少需要一个KDC,最好使用KDC集群确保HA

TGS 票据授予服务器(Ticket Granting Server),在客户端请求时授予其服务票据
Tickets

票据,用于确认两个实体 —— 用户、用户请求的服务 ——的身份

当用户实体登陆到启用Kerberos验证的客户端时:

  1. KDC发布一个票据授予票据(Ticket Granting Ticket)
  2. 如果用户提供了合法的访问凭证,则身份验证通过且用户可以向TGS请求针对某个Kerberized服务的票据
  3. Kerberized服务利用票据对用户进行验证,不需要用户再次提供原始的访问凭证(通常是用户名/密码)
Keytab Files 从KDC的实体数据库中抽取出来的、包含服务/主机的密钥的文件
认证步骤举例

Apache Drill支持Kerberos认证,步骤如下:

  1. 客户端登陆,提供:自己的身份信息、凭证信息、对获取票据的票据的请求(对TGT的请求)
  2. KDC的认证服务器验证凭证信息成功,返回TGT、会话密钥给客户端
  3. 客户端提供TGT、会话密钥给KDC的TGS,请求对Drillbit服务的访问权限
  4. TGS授予用于访问Drillbit的凭证
  5. 客户端使用凭证访问Drill集群
  6. 集群对客户端身份验证成功
Kerberos服务器

安装服务器之前,应该确保DNS服务器被正确的配置,因为Kerberos的Realm基于域名进行匹配。另外Kerberos对时间敏感,如果客户端时间和服务器时间差距超过5分钟,则默认不能进行验证。

安装

假设我们的Kerberos服务器的域名为zircon.gmem.cc。

执行下面的命令完成安装:

Shell
1
2
3
4
5
sudo apt-get install krb5-kdc krb5-admin-server
# 提示输入默认Realm名称时,输入DNS域名,例如GMEM.CC
# 提示输入管理服务器名称,输入机器名,例如ZIRCON
 
# 安装期间,修改的配置文件是 /etc/krb5.conf
配置

创建一个新的Realm:

Shell
1
2
sudo krb5_newrealm
# 输入数据库管理密码

如果需要重新配置KDC,例如修改Realm名称,可以执行:

Shell
1
sudo dpkg-reconfigure krb5-kdc

一旦KDC开始运行,你需要一个管理员,建议使用和平时登陆用户不同的名称:

Shell
1
2
3
4
5
6
7
8
9
10
# kamin是Kerberos数据库管理程序
sudo kadmin.local
# Authenticating as principal root/admin@GMEM.CC with password.
# root是一个Principal,/admin是一个Instance,@GMEM.CC指明Realm
 
# 创建新的管理员用户(实体)
addprinc alex/admin
# 根据提示设置密码
 
quit

新的管理员需要配置ACL权限:

/etc/krb5kdc/kadm5.acl
Shell
1
2
# 允许alex对Realm中任何实体进行任何操作
alex/admin@GMEM.CC          *

重新启动管理服务器,让新的ACL设置生效:

Shell
1
sudo service krb5-admin-server restart

测试新用户:

Shell
1
2
3
4
5
6
7
8
9
10
# kinit 用于获得并缓存票据授予票据(ticket-granting ticket)
kinit alex/admin
 
# klist 列出缓存的Kerberos票据
klist
# Default principal: alex/admin@GMEM.CC
 
# Valid starting       Expires              Service principal
# 08/15/2017 12:36:18  08/15/2017 22:36:18  krbtgt/GMEM.CC@GMEM.CC
#      renew until 08/16/2017 12:36:07 
卸载
Shell
1
2
sudo apt-get purge krb5-kdc krb5-admin-server  krb5-config krb5-locales krb5-user
sudo rm /etc/krb5.conf
Kerberos客户端

本节介绍如何把一个Linux系统配置为Kerberos客户端。一旦用户成功登陆到操作系统,他即可访问任何kerberized服务。

安装

安装以下软件:

Shell
1
sudo apt-get install krb5-user libpam-krb5 libpam-ccreds auth-client-config

配置以设置默认Realm:

Shell
1
sudo dpkg-reconfigure krb5-config

 

← 使用Grafana展示时间序列数据
使用Go语言进行文本处理 →

Leave a Reply Cancel reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Related Posts

  • Ubuntu开发知识集锦
  • 在Ubuntu上安装百度云客户端
  • 类UNIX系统下使用Dnsmasq
  • Ubuntu知识集锦
  • Ubuntu下安装Samba4

Recent Posts

  • Investigating and Solving the Issue of Failed Certificate Request with ZeroSSL and Cert-Manager
  • A Comprehensive Study of Kotlin for Java Developers
  • 背诵营笔记
  • 利用LangChain和语言模型交互
  • 享学营笔记
ABOUT ME

汪震 | Alex Wong

江苏淮安人,现居北京。目前供职于腾讯云,专注容器方向。

GitHub:gmemcc

Git:git.gmem.cc

Email:gmemjunk@gmem.cc@me.com

ABOUT GMEM

绿色记忆是我的个人网站,域名gmem.cc中G是Green的简写,MEM是Memory的简写,CC则是我的小天使彩彩名字的简写。

我在这里记录自己的工作与生活,同时和大家分享一些编程方面的知识。

GMEM HISTORY
v2.00:微风
v1.03:单车旅行
v1.02:夏日版
v1.01:未完成
v0.10:彩虹天堂
v0.01:阳光海岸
MIRROR INFO
Meta
  • Log in
  • Entries RSS
  • Comments RSS
  • WordPress.org
Recent Posts
  • Investigating and Solving the Issue of Failed Certificate Request with ZeroSSL and Cert-Manager
    In this blog post, I will walk ...
  • A Comprehensive Study of Kotlin for Java Developers
    Introduction Purpose of the Study Understanding the Mo ...
  • 背诵营笔记
    Day 1 Find Your Greatness 原文 Greatness. It’s just ...
  • 利用LangChain和语言模型交互
    LangChain是什么 从名字上可以看出来,LangChain可以用来构建自然语言处理能力的链条。它是一个库 ...
  • 享学营笔记
    Unit 1 At home Lesson 1 In the ...
  • K8S集群跨云迁移
    要将K8S集群从一个云服务商迁移到另外一个,需要解决以下问题: 各种K8S资源的迁移 工作负载所挂载的数 ...
  • Terraform快速参考
    简介 Terraform用于实现基础设施即代码(infrastructure as code)—— 通过代码( ...
  • 草缸2021
    经过四个多月的努力,我的小小荷兰景到达极致了状态。

  • 编写Kubernetes风格的APIServer
    背景 前段时间接到一个需求做一个工具,工具将在K8S中运行。需求很适合用控制器模式实现,很自然的就基于kube ...
  • 记录一次KeyDB缓慢的定位过程
    环境说明 运行环境 这个问题出现在一套搭建在虚拟机上的Kubernetes 1.18集群上。集群有三个节点: ...
  • eBPF学习笔记
    简介 BPF,即Berkeley Packet Filter,是一个古老的网络封包过滤机制。它允许从用户空间注 ...
  • IPVS模式下ClusterIP泄露宿主机端口的问题
    问题 在一个启用了IPVS模式kube-proxy的K8S集群中,运行着一个Docker Registry服务 ...
  • 念爷爷
      今天是爷爷的头七,十二月七日、阴历十月廿三中午,老人家与世长辞。   九月初,回家看望刚动完手术的爸爸,发

  • 6 杨梅坑

  • liuhuashan
    深圳人才公园的网红景点 —— 流花山

  • 1 2020年10月拈花湾

  • 内核缺陷触发的NodePort服务63秒延迟问题
    现象 我们有一个新创建的TKE 1.3.0集群,使用基于Galaxy + Flannel(VXLAN模式)的容 ...
  • Galaxy学习笔记
    简介 Galaxy是TKEStack的一个网络组件,支持为TKE集群提供Overlay/Underlay容器网 ...
TOPLINKS
  • Zitahli's blue 91 people like this
  • 梦中的婚礼 64 people like this
  • 汪静好 61 people like this
  • 那年我一岁 36 people like this
  • 为了爱 28 people like this
  • 小绿彩 26 people like this
  • 彩虹姐姐的笑脸 24 people like this
  • 杨梅坑 6 people like this
  • 亚龙湾之旅 1 people like this
  • 汪昌博 people like this
  • 2013年11月香山 10 people like this
  • 2013年7月秦皇岛 6 people like this
  • 2013年6月蓟县盘山 5 people like this
  • 2013年2月梅花山 2 people like this
  • 2013年淮阴自贡迎春灯会 3 people like this
  • 2012年镇江金山游 1 people like this
  • 2012年徽杭古道 9 people like this
  • 2011年清明节后扬州行 1 people like this
  • 2008年十一云龙公园 5 people like this
  • 2008年之秋忆 7 people like this
  • 老照片 13 people like this
  • 火一样的六月 16 people like this
  • 发黄的相片 3 people like this
  • Cesium学习笔记 90 people like this
  • IntelliJ IDEA知识集锦 59 people like this
  • 基于Kurento搭建WebRTC服务器 38 people like this
  • Bazel学习笔记 37 people like this
  • PhoneGap学习笔记 32 people like this
  • NaCl学习笔记 32 people like this
  • 使用Oracle Java Mission Control监控JVM运行状态 29 people like this
  • Ceph学习笔记 27 people like this
  • 基于Calico的CNI 27 people like this
Tag Cloud
ActiveMQ AspectJ CDT Ceph Chrome CNI Command Cordova Coroutine CXF Cygwin DNS Docker eBPF Eclipse ExtJS F7 FAQ Groovy Hibernate HTTP IntelliJ IO编程 IPVS JacksonJSON JMS JSON JVM K8S kernel LB libvirt Linux知识 Linux编程 LOG Maven MinGW Mock Monitoring Multimedia MVC MySQL netfs Netty Nginx NIO Node.js NoSQL Oracle PDT PHP Redis RPC Scheduler ServiceMesh SNMP Spring SSL svn Tomcat TSDB Ubuntu WebGL WebRTC WebService WebSocket wxWidgets XDebug XML XPath XRM ZooKeeper 亚龙湾 单元测试 学习笔记 实时处理 并发编程 彩姐 性能剖析 性能调优 文本处理 新特性 架构模式 系统编程 网络编程 视频监控 设计模式 远程调试 配置文件 齐塔莉
Recent Comments
  • qg on Istio中的透明代理问题
  • heao on 基于本地gRPC的Go插件系统
  • 黄豆豆 on Ginkgo学习笔记
  • cloud on OpenStack学习笔记
  • 5dragoncon on Cilium学习笔记
  • Archeb on 重温iptables
  • C/C++编程:WebSocketpp(Linux + Clion + boostAsio) – 源码巴士 on 基于C/C++的WebSocket库
  • jerbin on eBPF学习笔记
  • point on Istio中的透明代理问题
  • G on Istio中的透明代理问题
  • 绿色记忆:Go语言单元测试和仿冒 on Ginkgo学习笔记
  • point on Istio中的透明代理问题
  • 【Maven】maven插件开发实战 – IT汇 on Maven插件开发
  • chenlx on eBPF学习笔记
  • Alex on eBPF学习笔记
  • CFC4N on eBPF学习笔记
  • 李运田 on 念爷爷
  • yongman on 记录一次KeyDB缓慢的定位过程
  • Alex on Istio中的透明代理问题
  • will on Istio中的透明代理问题
  • will on Istio中的透明代理问题
  • haolipeng on 基于本地gRPC的Go插件系统
  • 吴杰 on 基于C/C++的WebSocket库
©2005-2025 Gmem.cc | Powered by WordPress | 京ICP备18007345号-2