一、准备阶段
1。下载jce并解压
jce下载地址:http://www.oracle.com/technetwork/java/javase/downloads/jce8 -下载- 2133166. - html
<代码> root@manager ~ # ls jce_policy - 8. - zip (root@manager ~) # - o - j - q jce_policy-8解压缩。zip - d/usr/local/jdk/jre/lib/security/代码>
2。安装krb5
<代码> [root@manager ~] # yum安装- y krb5-libs krb5-workstation 代码>
3。修改配置文件
<代码> root@manager ~ #猫/etc/krb5.conf #配置片段可能会放在这个目录中 includedir/etc/krb5.conf.d/(日志) 默认=文件:/var/log/krb5libs.log kdc=文件:/var/log/krb5kdc.log admin_server=文件:/var/log/kadmind.log [libdefaults] dns_lookup_realm=false ticket_lifetime=24小时 renew_lifetime=7 d 可=true rdn=false default_realm=KRB。COM #修改为认证域 default_ccache_name=密匙环:持久:% {uid} (领域) KRB。COM={ kdc=192.168.10.131 # kdc的地址 admin_server=192.168.10.131 # kadmin服务地址 } [domain_realm] 代码>
#以上需要在服务端和客户端都配置,可以在服务端配置好以后使用scp拷贝。
<人力资源/> <人力资源/>4。在服务端安装krb5-server
<代码> [root@manager ~] # yum安装- y krb5-server 代码>
5。修改服务端的配置文件
<代码> root@manager ~ #猫/var/kerberos/krb5kdc/kdc.conf (kdcdefaults) kdc_ports=88 kdc_tcp_ports=88 (领域) KRB。COM={ # master_key_type=aes256-cts acl_file=/var/kerberos/krb5kdc/kadm5.acl dict_file=/usr/share/dict/words admin_keytab=/var/kerberos/krb5kdc/kadm5.keytab supported_enctypes=aes256-cts:正常aes128-cts:正常des3-hmac-sha1:普通arcfour-hmac:普通camellia256-cts:普通camellia128-cts:普通des-hmac-sha1:普通des-cbc-md5:普通des-cbc-crc:正常 }代码>
二,配置阶段
1。创建kerberos数据库
<代码> [root@manager ~] # kdb5_util创建KRB.COM - s - r 随机数据加载 初始化数据库的/var/kerberos/krb5kdc/主体域“KRB.COM”, 主键名“K/M@KRB.COM” 系统将提示您数据库的主密码。 重要的是,你不会忘记这个密码。 进入KDC数据库主密钥: 重新输入KDC数据库主密钥来验证:代码>
2。创建管理员
<代码> root@manager ~ # kadmin。当地q“addprinc admin/admin” 对主根/admin@KRB进行身份验证。COM与密码。 警告:没有指定的政策管理/admin@KRB.COM;违约没有政策 为主要“admin/admin@KRB.COM”:输入密码 重新输入密码主要“admin/admin@KRB.COM”: 校长“admin/admin@KRB。代码创建COM”。>
3。给管理员账户添加acl权限
<代码> root@manager ~ #猫/var/kerberos/krb5kdc/kadm5.acl */admin@KRB。COM * 代码>
4。启动服务和设置开机自启
<代码> [root@manager ~] # systemctl krb5kdc开始 (root@manager ~) # systemctl kadmin开始 (root@manager ~) # systemctl启用krb5kdc (root@manager ~) # systemctl启用kadmin 代码>
5。在客户端测试连接
<代码> [root@vm1 ~] # kadmin - p admin/admin 作为主要admin/admin密码进行身份验证。 密码admin/admin@KRB.COM: kadmin: listprincs K/M@KRB.COM 管理/admin@KRB.COM kadmin/admin@KRB.COM kadmin/changepw@KRB.COM kadmin/manager@KRB.COM kiprop/manager@KRB.COM krbtgt/KRB.COM@KRB.COM kadmin:退出代码>
6。重新启动ambari-server
<代码> [root@manager ~] # ambari-server重启代码>
三,在洋麻上添加kerberos
1。开启Kerberos
在洋麻上添加Kerberos