1 Kerberos安装

选择集群中的一台主机（hadoop102）作为Kerberos服务端，安装KDC，所有主机都需要部署Kerberos客户端。

服务端主机执行以下安装命令（注意：在root账户下操作）

[[email protected] ~]# yum install -y krb5-server

客户端主机执行以下安装命令

[[email protected] ~]# yum install -y krb5-workstation krb5-libs

[[email protected] ~]# yum install -y krb5-workstation krb5-libs

[[email protected] ~]# yum install -y krb5-workstation krb5-libs

2）修改配置文件

1.服务端主机（hadoop102）

修改/var/kerberos/krb5kdc/kdc.conf文件，内容如下

[[email protected] ~]# vim /var/kerberos/krb5kdc/kdc.conf

修改如下内容

2.客户端主机（所有主机）

修改/etc/krb5.conf文件

[[email protected] ~]# vim /etc/krb5.conf

[[email protected] ~]# vim /etc/krb5.conf

[[email protected] ~]# vim /etc/krb5.conf

三台节点进行同样的操作，也可以建立软连接，直接利用xsync进行分发

[[email protected] ~]# ln -s /home/zhang/bin/xsync ~/bin

[[email protected] ~]# xsync /etc/krb5.conf

3）初始化KDC数据库

在服务端主机（hadoop102）执行以下命令，并根据提示输入密码。

[[email protected] ~]# kdb5_util create -s

 4）修改管理员权限配置文件

在服务端主机（hadoop102）修改/var/kerberos/krb5kdc/kadm5.acl文件，

[[email protected] ~]# vim /var/kerberos/krb5kdc/kadm5.acl

内容如下

*/[email protected]  

  5 ）启动Kerberos相关服务

在主节点（hadoop102）启动KDC，并配置开机自启

[[email protected] ~]# systemctl start krb5kdc

[[email protected] ~]# systemctl enable krb5kdc

在主节点（hadoop102）启动Kadmin，该服务为KDC数据库访问入口

[[email protected] ~]# systemctl start kadmin

[[email protected] ~]# systemctl enable kadmin

6） 创建Kerberos管理员用户

在KDC所在主机（hadoop102），执行以下命令，并按照提示输入密码

[[email protected] ~]# kadmin.local -q "addprinc admin/admin"

 2 Kerberos使用概述

2.1 Kerberos数据库操作

1.登录数据库

1）本地登录（无需认证）

[[email protected] ~]# kadmin.local

2）远程登录（需进行主体认证，认证操作见下文）

[[email protected] ~]# kadmin

 目前还没有认证，所以不能登录。

2.创建Kerberos主体

登录数据库，输入以下命令，并按照提示输入密码

kadmin.local: addprinc test

也可通过以下shell命令直接创建主体

[[email protected] ~]# kadmin.local -q"addprinc test"

3.修改主体密码

kadmin.local :cpw test

4.查看所有主体

kadmin.local: list_principals

K/[email protected]

admin/[email protected]

kadmin/[email protected]

kadmin/[email protected]

kadmin/[email protected]

kiprop/[email protected]

krbtgt/[email protected]

5.删除

kadmin.local:  delprinc test

 2.2 Kerberos认证操作

1.密码认证

1）使用kinit进行主体认证，并按照提示输入密码

[[email protected] ~]# kinit test

Password for [email protected]:

注意：test被前面删除了，要先进去创建一个test

2）查看认证凭证

[[email protected] ~]# klist

2.密钥文件认证

1）生成主体test的keytab文件到指定目录/root/test.keytab

[[email protected] ~]# kadmin.local -q "xst -norandkey -k  /root/test.keytab [email protected]"

注：-norandkey的作用是声明不随机生成密码，若不加该参数，会导致之前的密码失效。

2）使用keytab进行认证

[[email protected] ~]# kinit -kt /root/test.keytab test

3）查看认证凭证

[email protected] ~]# klist

3.销毁凭证

[[email protected] ~]# kdestroy

[[email protected] ~]# klist