kerberos

一：kdc 服务的安装与配置 二：集群所有节点安装Kerberos客户端(包括CM) 三：CDH集群启用Kerberos 一： kdc 服务的安装与配置 1.1 安装kdc服务 # yum install krb5-server krb5-libs krb5-auth-dialog krb5-workstation -y 1.2 配置kdc 服务 vim /etc/krb5.conf --- includedir /etc/krb5.conf.d/ [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] dns_lookup_kdc = false dns_lookup_realm = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true rdns = false default_realm = GEMS.COM default_tgs_enctypes = rc4-hmac default_tkt_enctypes = rc4-hmac permitted_enctypes = rc4

Kerberos+LDAP+NFSv4 实现单点登录(下) 六.nfs客户机的安装 nfs客户机也即SSSD客户机,需安装sssd和nfs-common 1.安装sssd 会自动安装libsasl2-modules-gssapi-mit(非依赖) libsasl2-modules-gssapi-mit和libsasl2-modules-gssapi-heimdal两者冲突,安装libsasl2-modules-gssapi-heimdal也可以 root@debian:~# apt-get install sssd sssd-krb5 sssd-ldap libsasl2-modules-gssapi-heimdal 安装后的sssd.conf是空白文件,nsswitch.conf没改变 root@debian:~# ls -l /etc/sssd/sssd.conf -rw------- 1 root root 1938 Jun 10 11:18 /etc/sssd/sssd.conf 仅拥有者可读(SSSD文档要求sssd.conf仅root根用户可读写,否则无法启动sssd) 修改配置文件sssd.conf、nsswitch.conf 1)查看sssd.conf root@debian:~# cat /etc/sssd/sssd.conf [sssd] config_file

Kerberos+LDAP+NFSv4 实现单点登录(上) Kerberos : 身份认证 LDAP : 目录信息服务 NFSv4 : 网络共享 实验环境 : debian 9 三台主机: nfs服务器 : 192.168.1.103 nfs客户机 : 192.168.1.102 即SSSD客户端+NFS客户端 kdc服务器 : 192.168.1.101 即Kerberos+LDAP 以下 root@debian:~# 表示以root根用户运行命令 一.安装NTP时间同步 要使用Kerberos提供身份认证,各主机需时间同步 在一台主机上安装时间同步服务器 root@debian:~# apt-get install ntp 在其它主机上安装时间同步客户端 root@debian:~# apt-get install ntpdate 二.配置本地域 假定域是ctp.net 安装Kerberos、LDAP过程都会用到域,NFSv4认证需要到域 以上三台主机的/etc/hosts文件内容都配置如下: 127.0.0.1 localhost 127.0.1.1 debian.ctp.net debian 192.168.1.103 srvnf.ctp.net srvnf 192.168.1.102 clnf.ctp.net clnf 注意:127.0.1.1一定要xxx.ctp

前篇<Kerberos+LDAP+NFSv4 实现单点登录(续1)--dns+dhcp>的krb5 + ldap + bind9 + bind9-dyndb-ldap 全面升级到debian 10,出现bind9-dyndb-ldap的GSSAPI+krb5_keytab认证机制无法连接ldap数据库. 查看日志: SASL/GSSAPI authentication started Error: Local error Additional info: SASL(-1): generic failure: GSSAPI Error: Miscellaneous failure (see text) (Did not find a plugin for ccache_ops) 网上搜索有关GSSAPI+ccache_ops未果,不得不自己动手调试. 思路:从bind9-dyndb-ldap软件包开始及其各依赖包逐个手动降级;或者从正常debian 9开始,修改软件源为debian 10,逐个升级.即降级/升级一个,测试一次. 说明:debian系统是无法自动降级的,可修改软件源为低版或手动下载低版deb包重装软件包 实际整个调试过程还是盲人摸象.krb5、ldap、sasl都是复杂的东西,问题有可能在服务端,也有可能在客户端,也有可能配置上漏缺. 本人能力有限