前言
<代码>本篇文档衔接上一篇Kerberos的安装配置;详见:https://blog.51cto.com/784687488/2332072 代码>
配置指定Kerberos配置文件的系统环境变量
<代码> #以下配置是Kerberos默认配置,也可以不配。如果需要改变Kerberos默认的配置文件路径则必须配置
“出口KRB5_CONFIG=/etc/krb5回响。相依”,祝辞的在/etc/profile
回声“出口KRB5_KDC_PROFILE=/var/kerberos/krb5kdc/kdc。相依”,祝辞的在/etc/profile 代码>
奴隶端安装
<代码> [root@agent02 ~]美元yum安装krb5-server krb5-libs krb5-workstation - y 代码>
在/etc/krb5.会议中添加从机kdc配置(M端操作)
<代码> #原配置如下:
[libdefaults]
renew_lifetime=7 d
可=true
default_realm=TEST.COM
ticket_lifetime=24小时
dns_lookup_realm=false
dns_lookup_kdc=false
default_ccache_name=/tmp/krb5cc_ % {uid}
# default_tgs_enctypes=aes des3-cbc-sha1 rc4 des-cbc-md5
# default_tkt_enctypes=aes des3-cbc-sha1 rc4 des-cbc-md5
(日志)
默认=文件:/var/log/krb5kdc.log
admin_server=文件:/var/log/kadmind.log
kdc=文件:/var/log/krb5kdc.log
(领域)
测试。COM={
admin_server=agent01.ambari.com
kdc=agent01.ambari.com
}
#修改后的配置如下:
[libdefaults]
renew_lifetime=7 d
可=true
default_realm=TEST.COM
ticket_lifetime=24小时
dns_lookup_realm=false
dns_lookup_kdc=false
default_ccache_name=/tmp/krb5cc_ % {uid}
# default_tgs_enctypes=aes des3-cbc-sha1 rc4 des-cbc-md5
# default_tkt_enctypes=aes des3-cbc-sha1 rc4 des-cbc-md5
(日志)
默认=文件:/var/log/krb5kdc.log
admin_server=文件:/var/log/kadmind.log
kdc=文件:/var/log/krb5kdc.log
(领域)
测试。COM={
admin_server=agent01.ambari.com
kdc=agent01.ambari.com
* kdc=agent02.ambari.com * #此处为新添加配置项
}代码>
分别为主/从端创建主体(M端操作)
<代码> [root@agent01 ~] kadmin.local美元
kadmin。本地:addprinc -randkey主机/agent01.ambari.com
警告:没有指定主机/agent01.ambari.com@TEST.COM政策;违约没有政策
校长“主机/agent01.ambari.com@TEST.COM”创建。
kadmin。本地:addprinc -randkey主机/agent02.ambari.com
警告:没有指定主机/agent02.ambari.com@TEST.COM政策;违约没有政策
校长“主机/agent02.ambari.com@TEST.COM”创建。
kadmin。本地:退出代码>
分别为主/从端提取校长的认证Keytab (M端操作)
<代码> [root@agent01 ~] kadmin美元。当地的q“ktadd主机/agent01.ambari.com@TEST.COM”
对主根/admin@TEST进行身份验证。COM与密码。
条目主要主机/agent01.ambari.com@TEST.COM kvno 2,加密类型aes256 - cts hmac - sha1, 96添加到keytab文件:/etc/krb5.keytab。
条目主要主机/agent01.ambari.com@TEST.COM kvno 2,加密类型aes128 - cts hmac - sha1, 96添加到keytab文件:/etc/krb5.keytab。
条目主要主机/agent01.ambari.com@TEST.COM kvno 2,加密类型des3-cbc-sha1添加到keytab文件:/etc/krb5.keytab。
条目主要主机/agent01.ambari.com@TEST.COM kvno 2,加密类型arcfour-hmac添加到keytab文件:/etc/krb5.keytab。
条目主要主机/agent01.ambari.com@TEST.COM kvno 2,加密类型camellia256-cts-cmac添加到keytab文件:/etc/krb5.keytab。
条目主要主机/agent01.ambari.com@TEST.COM kvno 2,加密类型camellia128-cts-cmac添加到keytab文件:/etc/krb5.keytab。
条目主要主机/agent01.ambari.com@TEST.COM kvno 2,加密类型des-hmac-sha1添加到keytab文件:/etc/krb5.keytab。
条目主要主机/agent01.ambari.com@TEST.COM kvno 2,加密类型des-cbc-md5添加到keytab文件:/etc/krb5.keytab。
[root@agent01 ~] kadmin美元。当地ktadd - k/etc/agent02. q”keytab主机/agent02.ambari.com@TEST.COM”
对主根/admin@TEST进行身份验证。COM与密码。
条目主要主机/agent02.ambari.com@TEST.COM kvno 2,加密类型aes256 - cts hmac - sha1, 96添加到keytab WRFILE:/etc/agent02.keytab。
条目主要主机/agent02.ambari.com@TEST.COM kvno 2,加密类型aes128 - cts hmac - sha1, 96添加到keytab WRFILE:/etc/agent02.keytab。
条目主要主机/agent02.ambari.com@TEST.COM kvno 2,加密类型des3-cbc-sha1添加到keytab WRFILE:/etc/agent02.keytab。
条目主要主机/agent02.ambari.com@TEST.COM kvno 2,加密类型arcfour-hmac添加到keytab WRFILE:/etc/agent02.keytab。
条目主要主机/agent02.ambari.com@TEST.COM kvno 2,加密类型camellia256-cts-cmac添加到keytab WRFILE:/etc/agent02.keytab。
条目主要主机/agent02.ambari.com@TEST.COM kvno 2,加密类型camellia128-cts-cmac添加到keytab WRFILE:/etc/agent02.keytab。
条目主要主机/agent02.ambari.com@TEST.COM kvno 2,加密类型des-hmac-sha1添加到keytab WRFILE:/etc/agent02.keytab。
条目主要主机/agent02.ambari.com@TEST.COM kvno 2,加密类型des-cbc-md5添加到keytab WRFILE:/etc/agent02.keytab。
[root@agent01 ~] scp/etc/agent02.美元keytab agent02.ambari.com:/etc/krb5.keytab