Kerberos 主从配置
发表于:2025-12-02 作者:千家信息网编辑
千家信息网最后更新 2025年12月02日,前言本篇文档衔接上一篇 Kerberos 的安装配置;详见:https://blog.51cto.com/784687488/2332072配置指定Kerberos配置文件的系统环境变量# 以下配置是
千家信息网最后更新 2025年12月02日Kerberos 主从配置
前言
本篇文档衔接上一篇 Kerberos 的安装配置;详见:https://blog.51cto.com/784687488/2332072配置指定Kerberos配置文件的系统环境变量
# 以下配置是 Kerberos 默认配置,也可以不配。如果需要改变 Kerberos 默认的配置文件路径则必须配置echo "export KRB5_CONFIG=/etc/krb5.conf" >>/etc/profileecho "export KRB5_KDC_PROFILE=/var/kerberos/krb5kdc/kdc.conf" >>/etc/profileSlave 端安装
[root@agent02 ~]$ yum install krb5-server krb5-libs krb5-workstation -y在 /etc/krb5.conf 中添加从机 kdc 配置(M端操作)
# 原配置如下:[libdefaults] renew_lifetime = 7d forwardable = true default_realm = TEST.COM ticket_lifetime = 24h dns_lookup_realm = false dns_lookup_kdc = false default_ccache_name = /tmp/krb5cc_%{uid} #default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5 #default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5[logging] default = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log kdc = FILE:/var/log/krb5kdc.log[realms] TEST.COM = { admin_server = agent01.ambari.com kdc = agent01.ambari.com }# 修改后的配置如下:[libdefaults] renew_lifetime = 7d forwardable = true default_realm = TEST.COM ticket_lifetime = 24h dns_lookup_realm = false dns_lookup_kdc = false default_ccache_name = /tmp/krb5cc_%{uid} #default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5 #default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5[logging] default = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log kdc = FILE:/var/log/krb5kdc.log[realms] TEST.COM = { admin_server = agent01.ambari.com kdc = agent01.ambari.com *kdc = agent02.ambari.com* # 此处为新添加配置项 }分别为 Master/Slave 端创建 Principal(M端操作)
[root@agent01 ~]$ kadmin.localkadmin.local: addprinc -randkey host/agent01.ambari.comWARNING: no policy specified for host/agent01.ambari.com@TEST.COM; defaulting to no policyPrincipal "host/agent01.ambari.com@TEST.COM" created.kadmin.local: addprinc -randkey host/agent02.ambari.comWARNING: no policy specified for host/agent02.ambari.com@TEST.COM; defaulting to no policyPrincipal "host/agent02.ambari.com@TEST.COM" created.kadmin.local: quit分别为 Master/Slave 端提取 Principal 的认证 Keytab(M端操作)
[root@agent01 ~]$ kadmin.local -q "ktadd host/agent01.ambari.com@TEST.COM"Authenticating as principal root/admin@TEST.COM with password.Entry for principal host/agent01.ambari.com@TEST.COM with kvno 2, encryption type aes256-cts-hmac-sha1-96 added to keytab FILE:/etc/krb5.keytab.Entry for principal host/agent01.ambari.com@TEST.COM with kvno 2, encryption type aes128-cts-hmac-sha1-96 added to keytab FILE:/etc/krb5.keytab.Entry for principal host/agent01.ambari.com@TEST.COM with kvno 2, encryption type des3-cbc-sha1 added to keytab FILE:/etc/krb5.keytab.Entry for principal host/agent01.ambari.com@TEST.COM with kvno 2, encryption type arcfour-hmac added to keytab FILE:/etc/krb5.keytab.Entry for principal host/agent01.ambari.com@TEST.COM with kvno 2, encryption type camellia256-cts-cmac added to keytab FILE:/etc/krb5.keytab.Entry for principal host/agent01.ambari.com@TEST.COM with kvno 2, encryption type camellia128-cts-cmac added to keytab FILE:/etc/krb5.keytab.Entry for principal host/agent01.ambari.com@TEST.COM with kvno 2, encryption type des-hmac-sha1 added to keytab FILE:/etc/krb5.keytab.Entry for principal host/agent01.ambari.com@TEST.COM with kvno 2, encryption type des-cbc-md5 added to keytab FILE:/etc/krb5.keytab.[root@agent01 ~]$ kadmin.local -q "ktadd -k /etc/agent02.keytab host/agent02.ambari.com@TEST.COM" Authenticating as principal root/admin@TEST.COM with password.Entry for principal host/agent02.ambari.com@TEST.COM with kvno 2, encryption type aes256-cts-hmac-sha1-96 added to keytab WRFILE:/etc/agent02.keytab.Entry for principal host/agent02.ambari.com@TEST.COM with kvno 2, encryption type aes128-cts-hmac-sha1-96 added to keytab WRFILE:/etc/agent02.keytab.Entry for principal host/agent02.ambari.com@TEST.COM with kvno 2, encryption type des3-cbc-sha1 added to keytab WRFILE:/etc/agent02.keytab.Entry for principal host/agent02.ambari.com@TEST.COM with kvno 2, encryption type arcfour-hmac added to keytab WRFILE:/etc/agent02.keytab.Entry for principal host/agent02.ambari.com@TEST.COM with kvno 2, encryption type camellia256-cts-cmac added to keytab WRFILE:/etc/agent02.keytab.Entry for principal host/agent02.ambari.com@TEST.COM with kvno 2, encryption type camellia128-cts-cmac added to keytab WRFILE:/etc/agent02.keytab.Entry for principal host/agent02.ambari.com@TEST.COM with kvno 2, encryption type des-hmac-sha1 added to keytab WRFILE:/etc/agent02.keytab.Entry for principal host/agent02.ambari.com@TEST.COM with kvno 2, encryption type des-cbc-md5 added to keytab WRFILE:/etc/agent02.keytab.[root@agent01 ~]$ scp /etc/agent02.keytab agent02.ambari.com:/etc/krb5.keytab将 Master 端相关文件分发至 Slave 端(M端操作)
[root@agent01 ~]$ scp /etc/krb5.conf agent02.ambari.com:/etc/[root@agent01 ~]$ scp /var/kerberos/krb5kdc/kdc.conf /var/kerberos/krb5kdc/kadm5.acl /var/kerberos/krb5kdc/.k5.TEST.COM agent02.ambari.com:/var/kerberos/krb5kdc/创建 Slave 端数据库
[root@agent02 ~]$ kdb5_util create -r TEST.COM -s创建 Principal
[root@agent02 ~]$ kadmin.local kadmin.local: addprinc -randkey host/agent02.ambari.com@TEST.COM WARNING: no policy specified for host/agent02.ambari.com@TEST.COM; defaulting to no policyPrincipal "host/agent02.ambari.com@TEST.COM" created.kadmin.local: addprinc -randkey host/agent01.ambari.com@TEST.COMWARNING: no policy specified for host/agent01.ambari.com@TEST.COM; defaulting to no policyPrincipal "host/agent01.ambari.com@TEST.COM" created.kadmin.local: quitMaster 端数据库数据通过 kpropd 进程传输,创建 kpropd.acl 文件明确可进行数据 dump & update & transfer 的 principal
[root@agent02 ~]$ cat >>/var/kerberos/krb5kdc/kpropd.acl< host/agent01.ambari.com@TEST.COM> host/agent02.ambari.com@TEST.COM> EOF[root@agent02 ~]$ scp /var/kerberos/krb5kdc/kpropd.acl agent01.ambari.com:/var/kerberos/krb5kdc/ 创建 /etc/inetd.conf
[root@agent02 ~]$ cat >>/etc/inetd.conf<定义 kpropd daemon 名称及端口
[root@agent02 ~]$ echo "krb5_prop 754/tcp # Kerberos slave propagation" >>/etc/services启动 kpropd daemon
[root@agent02 ~]$ systemctl start kprop.service备份 kerberos-master 数据(M 端执行)
[root@agent01 ~]$ for n in 21 22;do ssh 10.0.2.$n "mkdir /var/kerberos/data_trans";done
[root@agent01 ~]$ kdb5_util dump /var/kerberos/data_trans/slave_datatrans
传输 Master 数据至 Slave(M 端执行)
[root@agent01 ~]$ kprop -f /var/kerberos/data_trans/slave_datatrans agent02.ambari.comDatabase propagation to agent02.ambari.com: SUCCEEDED创建数据传输脚本(M端操作)
[root@agent01 ~]$ cat >/var/kerberos/data_trans/data_transfor.sh<>/var/kerberos/data_trans/data_transfor.log kprop -f ${bakfile} ${kdc} >>/var/kerberos/data_trans/data_transfor.logdoneexit 0EOF[root@agent01 ~]$ scp /var/kerberos/data_trans/data_transfor.sh agent02.ambari.com:/var/kerberos/data_trans/ 添加定时任务
# M 端操作[root@agent01 ~]$ echo "0 * * * * /bin/sh /var/kerberos/data_trans/data_transfor.sh" >>/var/spool/cron/root# S 端操作[root@agent02 ~]$ echo "#0 * * * * /bin/sh /var/kerberos/data_trans/data_transfor.sh" >>/var/spool/cron/root启动 Slave 端kdc进程
[root@agent02 ~]$ systemctl start krb5kdc.service主从切换需要手动操作,手动启动从机kadmin daemon
配置
数据
端操
文件
传输
手动
数据库
进程
别为
主从
不配
任务
前言
原配
变量
名称
备份
数据传输
文档
环境
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
王者荣耀能互转服务器吗
合肥ios系统软件开发
军队服务器
关系数据库用什么结构存放
数据库连接工具 ads
衢州学软件开发需要学什么
服务器管理口操作教程
重庆vivo软件开发薪资
前端框架直接调用数据库
软件开发跟固态硬盘
地理信息技术数据库
每个数据库的sql语句
服务器提示安全密码
数据库考试题目答案pdf下载
配置管理在软件开发哪个阶段
邮件服务器破解版
正定智能软件开发服务咨询报价
上海综合软件开发发展现状
网络安全现状的体会
数据库实例和库
网络安全保障体系架构包括
新手机连接不到apple服务器
什么是网络技术怎么样
数据库如何生成主键唯一
数据库 姓王的
大连房地产软件开发公司电话
商城数据库
建数据库需要多长时间
青少年网络安全知识竞赛通知
浪潮软件开发中心
