Kerberos 安装测试使用

1.安装 KDC Server

在 u1404（非HDP集群节点）安装 Install the KDC Server：

$ apt-get install krb5-kdc krb5-admin-server

第一次尝试时，提示 krb5-user 依赖冲突。用手机当热点执行 apt-get update 后。

安装过程中出现提示窗口让输入 Default Kerberos version 5 realm，保留默认值 AMBARI.APACHE.ORG。然后出现两次让输入 hostname，都输入的"u1404.ambari.apache.org"。最后提示说这个向导没有自动建立一个kerberos realm，如果想建立就执行命令"krb5_newrealm"。相关说明在/usr/share/doc/krb5-kdc/README.KDC中。

$ krb5_newrealm
master key name 'K/M@AMBARI.APACHE.ORG'
Enter KDC database master key:    (输入两次密码，密码是vagrant)

必须使用krb5_newrealm创建realm，否则无法启动下列服务。

启动KDC server和KDC admin server：

$ service krb5-kdc restart                     （如果不执行krb5_newrealm就无法启动这个服务）
$ service krb5-admin-server restart            （如果不执行krb5_newrealm就无法启动这个服务）

2.创建 Kerberos Admin

通过创建admin主体来建立KDC admin：

$ kadmin.local -q "addprinc root/admin"         (输入两次密码，密码是vagrant)

将刚创建的admin主体添加到KDC ACL中：

$ echo "*/admin@AMBARI.APACHE.ORG *" >> /etc/krb5kdc/kadm5.acl
$ service krb5-admin-server restart

3. 简单测试

查看主体清单的方法：在u1404节点（安装KDC的节点）上执行：

$ kadmin.local
kadmin.local: list_principals  
HTTP/u1402.ambari.apache.org@AMBARI.APACHE.ORG
HTTP/u1403.ambari.apache.org@AMBARI.APACHE.ORG
K/M@AMBARI.APACHE.ORG
admin/admin@AMBARI.APACHE.ORG
(略)

4.kerberos 客户端安装

ubuntu 下安装 kerberos 客户端：

$ apt install krb5-user  (如果提示包依赖错误，就用手机上网执行apt-get udpate)

centos 下安装 kerberos 客户端：

$ yum install krb5-workstation

安装过程中如果让输入KDC，则输入u1404.ambari.apache.org；如果让输入realm则输入AMBARI.APACHE.ORG；如果让输入管理服务器也输入地址u1404.ambari.apache.org。

5.kerberos 客户端的使用

kerberos 客户端的常用命令是kinit、klist、kdestroy、kpasswd。 kinit用户登录。登录过程就是客户端从KDC获取票据TGT的过程。登录成功后，票据被缓存在本地。实际上就是建立了安全会话。

klist用户查看当前票据缓存中内容。

kdestroy用于退出登录，即销毁缓存中票据。

kpasswd用于修改用户(主体)口令。

$ klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)

上面的结果表明缓存文件中没有票据。

$ kinit webb
Password for webb@AMBARI.APACHE.ORG:(输入密码)
$ klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: webb@AMBARI.APACHE.ORG

Valid starting       Expires              Service principal
06/22/2017 08:14:21  06/22/2017 18:14:21  krbtgt/AMBARI.APACHE.ORG@AMBARI.APACHE.ORG
        renew until 06/29/2017 08:14:18
$ kdestroy    (退出，如果再执行klist就会又显示No credentials cache found)