首页 > 其他分享 >kerberos搭建基础知识

kerberos搭建基础知识

时间:2022-12-18 15:44:38浏览次数:54  
标签:taishi CN kerberos 基础知识 etc TAISHI 搭建 log

kerberos验证流程

           

           

 配置文件格式

              

              

             

服务端搭建配置

     1.yum install -y krb5-libs krb5-server krb5-workstation

# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
 default_realm = TAISHI.CN
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 TAISHI.CN = {
  kdc = esnode.taishi.cn
  admin_server = esnode.taishi.cn
 }

[domain_realm]
 .taishi.cn = TAISHI.CN
  taishi.cn = TAISHI.CN
/etc/krb5.conf
[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 TAISHI.CN = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }
/var/kerberos/krb5kdc/kdc.conf
*/[email protected]       *
var/kerberos/krb5kdc/kadm5.acl
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.30.129 taishi.ccscs
192.168.30.129 esnode.taish.cn
/etc/hosts

   systemctl restart krb5kdc

   systemctl restart kadmin

  2.初始化域名数据库

    kdb5_util create -s -r TAISHI.CN

  3.创建用户数据

        kadmin.local

        addprinc root/[email protected]

        listprincs

         

客户端搭建配置

     1.yum -y install krb5-libs krb5-workstation

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.30.80 taishi.ccscs
192.168.30.129 esnode.taishi.cn
/etc/hosts
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
 default_realm = TAISHI.CN
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 TAISHI.CN = {
  kdc = esnode.taishi.cn
  admin_server = esnode.taishi.cn
 }

[domain_realm]
 .taishi.cn = TAISHI.CN
  taishi.cn = TAISHI.CN
/etc/krb5.conf

    2.客户端生成连接用户的本地票据 

      kinit root/[email protected]

      

       

  3.客户端通过本地票据连接kerberos服务端

       kadmin

       

       kerberos客户端已经成功验证登录服务端

给各个服务配置kerberos的principal

   1.principal
      principal就是kerberos中的账户概念
      account/instance@realm 格式

   2.keytab
      keytab文件的用途是当kerberos认证的时候可以免输入密码登录

   3.为kerberos账户创建keytab文件

      1. mkdir /etc/security/keytabs/

      2.登录kadmin.local命令行

        ktadd -k /etc/security/keytabs/es.service.keytab root/[email protected]

      

     

     

    4.主机认证kerberos账户

       在所有的主机上执行
       kinit -kt /etc/security/keytabs/es.service.keytab root/[email protected]
       klist

       

       

kerberos代码认证实例

        

        

 

标签:taishi,CN,kerberos,基础知识,etc,TAISHI,搭建,log
From: https://www.cnblogs.com/yxh168/p/16989659.html

相关文章

  • windows 本地搭建Mysql服务
    1.从服务器下载最新的版本https://downloads.mysql.com/archives/community/ 2.解压到本地文件 3.配置系统变量MYSQL_HOME值是本地的地址D:\Program\mysql-8.0.......
  • AlmaLinux 系统搭建 K8s 集群
    前言容器技术:有效的将单个操作系统的资源划分到孤立的组中,技术核心就是通过对资源的限制和隔离把进程运行在一个沙盒中。并且这个沙盒可以被打包成容器镜像(Image),任意地跨平......
  • B站网络安全之基础知识的学习(底层原理的剖析)
    HTTP协议刚了解完请求与响应的操作吧,接下来让我们看看HTTP的一些漏洞吧! 注意:不能实现啊(要不然完蛋) 1.逻辑漏洞  我们得看前面的地址有个CSDN对吧,但是要注意......
  • B站网络安全之基础知识的学习(底层原理的剖析)
    HTTP协议HTTP网络协议:用来数据传输的核心部分这里有两个概念:前端:可以肉眼看到的(基于HTML和Javascript)也叫客户端后端:提供数据和处理数据(你看不到!) 可能会有点形象:......
  • 使用DoraCloud免费版搭建办公桌面云
    DoraCloud是一款多平台的桌面虚拟化管理软件,支持Hyper-V、VMware、Proxmox、XenServer等多种虚拟化平台。DoraCloud在虚拟化平台上具有极大的灵活性,允许您的组织自由选择合......
  • 空间不足了?用linux搭建samba家庭共享盘
    目录背景--空间不够,文件太散乱环境搭建硬盘开机自动挂载samba安装配置参考背景--空间不够,文件太散乱最近在使用各种设备的时候,总是觉得存储空间告急。总觉得现在不太喜......
  • java漏洞学习平台搭建
    java漏洞平台搭建项目地址:https://github.com/j3ers3/Hello-Java-Sec......
  • 零基础用PyTorch搭建自己的神经网络
    PyTorch中有一个torch.nn提供了所有你在组建神经网络过程中需要的模块。每个神经网络模型都是PyTorch的nn.Module的子类,神经网络是由层或者模型组成的,也就是说一个神经网络......
  • chatGPT搭建之旅
    昨天接到领导需求,要我搭建一个chatGPT玩玩,并给了一个链接地址:https://gitee.com/RockChin/QChatGPT然后历经千辛万苦,熬了一宿终于搭建了,中途踩了各种大坑小坑。  1、......
  • 三步快速搭建Typora图床(SM.MS+PicGo)
    三步快速搭建Typora图床(基于SM.MS+PicGo)前言在有些同学使用Typora的过程中,会发现Typora不像Word一样,在文档脱离本机后依然正常显示图片,自己的tyopora文件在发给别人就......