kerberos安装配置

目录

• 前言
• 服务端安装
  • 组件安装
  • 配置krb5.conf
  • 配置kdc.conf
  • 配置kadm5.acl
  • 创建kdc数据库
  • 在server端创建一个管理员账号，方便远程登录管理kerberos
  • 正式启动kerberos server
• 服务端进阶配置
  • 服务端高可用配置
  • 服务端同LDAP集成配置
• 客户端安装
  • 组件安装
  • krb5.conf配置
• 日常运维
  • kadmin和kadmin.local的区别
  • kadmin
    • 两种操作形态
    • 直接使用kadmin的错误
  • 登录认证kinit
  • 已认证票据查询klist
  • 登出票据销毁kdestroy
  • 票据续期
  • 生成keytab文件
  • 一些注意事项
    • max_life and max_renewable_life
• 参考资料

前言

下面的所有配置，都以centos为基础操作系统进行

服务端安装

组件安装

yum install krb5-libs krb5-server krb5-workstation

配置krb5.conf

默认路径为/etc/krb5.conf

该配置的主要配置了realm 对应的kdc的host，kadmin所在服务器，以及一些domain到realm的映射关系，以及日志存储文件等信息，一般分为如下四块：

• logging 记录kerberos库、kdc、kadmin server对应的日志文件

[logging]

default = FILE:/var/log/krb5libs.log

kdc = FILE:/var/log/krb5kdc.log

admin_server = FILE:/var/log/kadmind.log

```

• libdefaults 整个kerberos组件相关的默认配置，如果不显示执行相关配置项，则默认这些值

  [libdefaults]
       default_realm = TEST.COM
       dns_lookup_realm = false
       dns_lookup_kdc = false
       ticket_lifetime = 24h
       renew_lifetime = 7d
       forwardable = true
  

• realms 。其中配置了该realm中kdc、kadmin server对应的host地址

  [realms]
       TEST.COM = {
        kdc = host1.mydomain.nl
        admin_server = host1.mydomain.nl
       }
  
  

• domain_realm 配置域名或host映射的realm 。 由于kerberos本身是支持多realm的，这个配置可以用来将不同的host或domain映射到不同的realm

  [domain_realm]
       .example.com = TEST.COM
       example.com = TEST.COM
  
  

上述几块组合起来就是完整的配置，总体demo如下

[logging]
     default = FILE:/var/log/krb5libs.log
     kdc = FILE:/var/log/krb5kdc.log
     admin_server = FILE:/var/log/kadmind.log

    [libdefaults]
     default_realm = TEST.COM
     dns_lookup_realm = false
     dns_lookup_kdc = false
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true

    [realms]
     TEST.COM = {
      kdc = host1.mydomain.nl
      admin_server = host1.mydomain.nl
     }

    [domain_realm]
     .example.com = TEST.COM
     example.com = TEST.COM

其中realm一般按惯例是所属公司的域名大写，这里做demo写的是TEST.COM ，实际配置需要替换成具体的公司域名

配置kdc.conf

默认路径为/var/kerberos/krb5kdc/kdc.conf。kdc是整个Kerberos网络的核心，它存储了所有principal的账号数据，并对principal的请求，进行认证，与Principal之间的访问票据分发。

一个典型的kdc.conf配置如下

[kdcdefaults]
     kdc_ports = 88
     kdc_tcp_ports = 88

    [realms]
     TEST.COM = {
      #master_key_type = aes256-cts
      acl_file = /var/kerberos/krb5kdc/kadm5.acl
      dict_file = /usr/share/dict/words
      admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
      supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
      max_life = 24h 0m 0s
            max_renewable_life = 7d 0h 0m 0s
     }

kdcdefaults块配置了kdc服务监听的端口

realms 配置了该kdc管辖的realm的相关配置，具体为

• acl_file 配置具有管理员权限的访问控制列表kadm5.acl，具体释义，见下文
• dict_file 配置principal密码约束文件，dict_file 文件中一个字符串一行，这些字符串相当于黑名单，配置其中的字符串都不能用作密码。
• admin_keytab kdc的admin的免交互式认证文件存储地址
• supported_enctypes kerberos网络中，各组件通信时所能使用的加密协议
• max_life kdc分发的票据，最大有效期
• max_renewable_life 指定一个合法票据(注意是合法，如果一个票据已经失效，是不能够被续期的)，在多长时间内可被续期。有些分布式组件，处理一个任务可能会耗很长时间，甚至大于一个票据的最大生命周期。max_renewable_life 就是指，一个票据被分发后的一段时间内，该票据可以被续期，从而使其不过期。续期的命令是kinit -R , hue就专门有一个续期的服务，定时去调用kinit -R进行票据续期。一般max_renewable_life 默认值是0，也即不允许续期，所以记得要在kdc中配置该值，否则有些依赖Kerberos的服务会工作不正常，比如hue

配置kadm5.acl

默认路径/var/kerberos/krb5kdc/kadm5.acl

该文件相当于一个访问列表，其中配置了哪些Principal拥有管理kdc的数据库的名单。比如下属配置

 */admin@TEST.COM    *

该配置表示名为TEST.COM的realm 中，为*/admin的pricipal将拥有所有的权限，第一个星表示用户名通配符，vincent/admin或者tom/admin都能满足这个规则，第二个星表示拥有所有的权限

创建kdc数据库

kdb5_util create -s

该命令会创建一个kdc数据库，该数据库实际存放所有principal的账号。命令敲击后，会类似如下样子

Loading random data
  Initializing database '/var/kerberos/krb5kdc/principal' for realm 'TEST.COM',
  master key name 'K/M@TEST.COM'
  You will be prompted for the database Master Password.
  It is important that you NOT FORGET this password.
  Enter KDC database master key:
  Re-enter KDC database master key to verify:

它会让用户属于一个密码，该密码是用来管理kdc数据库的，访问该数据的用户名为K/M@TEST.COM。kdc每次重启，都会要求输密码，以访问该数据库，为了跳过这个人工干预，所以这里加了-s参数，表示将数据登录认证进行暂存，这样下次kdc可以直接启动

在server端创建一个管理员账号，方便远程登录管理kerberos

在server所在的机器上执行命令kadmin.local -q "addprinc tunde/admin"，该命令会直接访问kdc的数据库，并在其中创建一个tunde/admin的principal，该principal显然满足满足kadm5.acl访问控制列表的规范，可以作为kdc的管理员

正式启动kerberos server

$ service krb5kdc start #启动kdc
$ service kadmin start #启动kadmin server，该服务使得我们可以远程通过kadmin去管理kdc数据库中的Principal
$ chkconfig krb5kdc on
$ chkconfig kadmin on

服务端进阶配置

上述配置，已经完成了一个kerberos 服务的基本配置。下面来说一些进阶配置

服务端高可用配置

在两个机器上，分别启动kdc。 他们拥有独立的数据库，平时连其中一个，当挂掉后，启动另一个服务器上的kdc。两个kdc之间的数据库需要自己写脚本来复制。这种方式不是真正的高可用，且数据复制较为麻烦。

服务端同LDAP集成配置

https://web.mit.edu/kerberos/krb5-1.12/doc/admin/conf_files/kdc_conf.html#dbdefaults

上述配置中，kdc默认的数据库是在本地文件系统上的一个文件。可以将kerberos同LDAP整合，实现将用户的账户、甚至组织机构信息存储在ldap中，而不是本地的文件中。一个跟LDAP整合的样例配置如下：

[kdcdefaults]
    kdc_ports = 88

[realms]
    ATHENA.MIT.EDU = {
        kadmind_port = 749
        max_life = 12h 0m 0s
        max_renewable_life = 7d 0h 0m 0s
        master_key_type = aes256-cts-hmac-sha1-96
        supported_enctypes = aes256-cts-hmac-sha1-96:normal aes128-cts-hmac-sha1-96:normal
        database_module = openldap_ldapconf
    }

[logging]
    kdc = FILE:/usr/local/var/krb5kdc/kdc.log
    admin_server = FILE:/usr/local/var/krb5kdc/kadmin.log

[dbdefaults]
    ldap_kerberos_container_dn = cn=krbcontainer,dc=mit,dc=edu

[dbmodules]
    openldap_ldapconf = {
        db_library = kldap
        disable_last_success = true
        ldap_kdc_dn = "cn=krbadmin,dc=mit,dc=edu"
            # this object needs to have read rights on
            # the realm container and principal subtrees
        ldap_kadmind_dn = "cn=krbadmin,dc=mit,dc=edu"
            # this object needs to have read and write rights on
            # the realm container and principal subtrees
        ldap_service_password_file = /etc/kerberos/service.keyfile
        ldap_servers = ldaps://kerberos.mit.edu
        ldap_conns_per_server = 5
    }

• 其中dbdefaults下的ldap_kerberos_container_dn 属性，指定的是整个kerberos管理的Principal所在ldap的父entry地址，它相当于一个容器，装在了所有的Principal账户，所以名字上有container字样体现

• db_library = kldap 表示我们整合的数据库类型是LDAP

• disable_last_success = true 用户登录的时候，默认会记录用户上次成功登录的时间。但记录这个是有性能开销的。所以可以通过这个选项，禁用掉 对成功登录信息的记录。当然禁用掉会影响管理员去排除登录问题，你都不知道用户上次成功登录时什么时候了。对应的文档地址：https://web.mit.edu/kerberos/krb5-1.14/doc/admin/lockout.html

• ldap_kdc_dn 该属性配置 krb5kdc守护进程在ldap中的账号dn（dn也即我们普通理解的id），该节点需要拥有对ldap_kerberos_container_dn entry的读写权限

• ldap_kadmind_dn 该属性配置 kadmind进程的账号dn，该节点需要拥有对ldap_kerberos_container_dn entry的读写权限

• ldap_service_password_file kerberos本身的守护进程krb5kdc和kadmind在对ldap中的principal信息进行管理时，首先这些守护进程自己需要有权限登录到ldap。而使用交互方式输入密码显然不现实。所以需要将krb5kdc和kadmind对应的ldap密码信息放到一个文件里。该属性就是来配置这个密码认证文件的。kerberos提供了工具kdb5_ldap_util 来将对应的ldap账号，做成文件

  kdb5_ldap_util stashsrvpw -f /home/andrew/conf_keyfile cn=service-kdc,o=org
  

  这里-f 指定将要用于存储密码的文件，后面紧跟的是对应的ldap dn。该命令会进入交互界面，让我们输入对应账号的密码，认证成功后，将在指定文件生成对应的认证记录。该工具的参考资料为：https://web.mit.edu/kerberos/www/krb5-latest/doc/admin/admin_commands/kdb5_ldap_util.html

• ldap_servers 配置LDAP的连接地址

• ldap_conns_per_server 配置kerberos同LDAP服务器之间保有的连接数

客户端安装

组件安装

 yum install krb5-workstation krb5-libs

与server不同的是，少了krb5-server组件的安装

krb5.conf配置

一般情况，client的该配置，同服务端一样，所以拷过来即可

日常运维

kadmin和kadmin.local的区别

kadmin 是通过访问kadmin server进程，来实现对Kdc中的principal进行管理

而kadmin.local是在kdc所在的服务器上，直接访问kdc的数据库，它不依赖kadmin server，只要kdc数据库创建后，即可进行操作。

除此之外，两者功能类似

kadmin

两种操作形态

直接使用kadmin时，kadmin相当一个命令行操作系统，一旦进入后，就可以在里面交互式的执行很多Principal管理命令。命令后面加了中文注释

[root]$ kadmin -p tunde/admin
  Authenticating as principal tunde/admin with password.
  Password for tunde/admin@TEST.COM:

  #list principals -- see which users can get a kerberos ticket
  kadmin: list_principals #列出现在kdc中拥有的principal列表

  #add a new principal
  kadmin:  addprinc user1 #添加一个principal
    WARNING: no policy specified for user1@TEST.COM; defaulting to no policy
    Enter password for principal "user1@TEST.COM":
    Re-enter password for principal "user1@TEST.COM":
    Principal "user1@TEST.COM" created.

  #delete principal
  kadmin: delprinc user1 #删除一个principal
    Are you sure you want to delete the principal "user1@TEST.COM"? (yes/no): yes
    Principal "user1@TEST.COM" deleted.
    Make sure that you have removed this principal from all ACLs before reusing.

  #let's add the user1 principal back
  kadmin:  addprinc user1 #再次添加user1这个principal
    WARNING: no policy specified for user1@TEST.COM; defaulting to no policy
    Enter password for principal "user1@TEST.COM":
    Re-enter password for principal "user1@TEST.COM":
    Principal "user1@TEST.COM" created.

  kadmin: exit #突出整个kadmin的交互session

值得注意的是，上述addprinc user1，会以交互的方式让用户输入这个principal的密码。如果添加的Principal本身不给用户交互使用，而是直接以keytab文件方式做为认证文件。那么也可以在新建principal的时候加上-randkey参数，表示给新建的用户随机生成一个密码。这样通过kadmin.local 生成keytab文件时，比如addprinc -randkey user1再分发给到目的地就好。keytab的创建方式见下文。

当然，如果只是想直接直接执行一个命令，而不想进入上述的交互界面，也可以直接加参数-q 去执行后即退出，比如

kadmin -p tunde/admin -q "list_principals"

直接使用kadmin的错误

直接使用kadmin命令时，默认登录的principal是当前linux登录用户的加realm组合而来的。比如当前登录用户是ops。那么kadmin会试登录用户为ops/admin@TEST.COM。很可能KDC数据库中，根本就没有这个Principal，所以会报如下错误

Authenticating as principal ops/admin@TEST.COM with password.

解决办法是对kadmin加-p参数，显示指定实际存在的admin principal来进行登录， 如kadmin -p tunde/admin

登录认证kinit

在安有kerberos 客户端或服务器的机器上，直接使用kinit user1命令，即可以交互的形式输入密码，去kdc认证登录。

已认证票据查询klist

登录成功后，可以使用klist -e看下票据的有效期等信息

Ticket cache: FILE:/tmp/krb5cc_0
  Default principal: user1@TEST.COM

  Valid starting     Expires            Service principal
  02/03/14 02:32:42  02/04/14 02:32:42  krbtgt/TEST.COM@TEST.COM
    renew until 02/03/14 02:32:42, Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96

登出票据销毁kdestroy

就在登录的那台机器上使用kdestroy命令，销毁认证的票据。然后使用klist去看是否销毁成功，销毁成功后显示

 klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)

票据续期

使用kinit -R可以实现对已登录认证的票据进行续期，防止失效。hue有一个专门的 Ticket Renewal 实例来做这个事情

生成keytab文件

前面说过，通过kinit方式认证一个principal是需要用输入密码的方式进行交互。而如果两个互访的Principal本身就是两个机器，显然没办法以交互的方式进行认证。keytab文件就可以解决这个问题，它存储了多个principal及其对应的密码信息。

keytab文件的创建方式为，在kadmin命令行中使用ktadd命令，命令的完整形式为ktadd -k keytab_file_path principal。demo如下

kadmin: ktadd -k /tmp/foo-new-keytab host/foo.mit.edu
Entry for principal host/foo.mit.edu@ATHENA.MIT.EDU with kvno 3,
     encryption type aes256-cts-hmac-sha1-96 added to keytab
     FILE:/tmp/foo-new-keytab
kadmin:

从keytab中移除对应的principal使用的命令为ktremove，具体使用方式不再赘述

一些注意事项

max_life and max_renewable_life

前面说了max_life是设置票据的生存时长

max_renewable_life是设置票据可以被续期的时长，也即在指定的时间段内，票据可以被续期。当然续期后的票据长度还是max_life。

这两个属性跟principal是绑定的，所以如果配置这两个属性之前，已经创建了许多principal，那修改这两个属性重启kdc后，这两个属性依然不会生效。有两种方式来解决。

第一种，删除数据库后重做，数据库对应的文件，一般在/var/kerberos/krb5kdc目录下

第二种，直接修改对应Principal的属性值，比如

$ kadmin: modprinc -maxlife 1days -maxrenewlife 7days +allow_renewable krbtgt/TEST.COM
$ kadmin:  modprinc -maxlife 1days -maxrenewlife 7days +allow_renewable

参考资料

https://godatadriven.com/blog/kerberos-basics-and-installing-a-kdc/

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system-level_authentication_guide/configuring_a_kerberos_5_client