一、kerberos安装部署

kerberos的基本原理不做过多介绍了,可自行查阅;本文主要介绍kerberos的安装及使用;使用到的软件版本:系统:Red Hat Enterprise Linux release 8.6 (Ootpa) 、krb5-server:1.18.2

#使用到的软件版本

[root@kafka01 data]# cat /etc/redhat-release

Red Hat Enterprise Linux release 8.6 (Ootpa)

#通过yum安装

[root@kafka01 ~]# yum install krb5-server

#查看本版号

[root@kafka01 ~]# rpm -qi krb5-server

Name        : krb5-server

Version     : 1.18.2

Release     : 30.el8_10

Architecture: x86_64

Install Date: Fri 07 Mar 2025 11:11:35 AM CST

Group       : System Environment/Daemons

Size        : 1481553

License     : MIT

Signature   : RSA/SHA256, Tue 22 Oct 2024 11:00:23 PM CST, Key ID 199e2f91fd431d51

二、准备机器

序号 IP 主机 部署服务
1 192.168.10.100 kafka01 Kerberos Server、Kerberos Client
2 192.168.10.101 kafka02 Kerberos Client
3 192.168.10.102 kafka03 Kerberos Client
绑定host文件
[root@kafka01 ~]# cat /etc/hosts

192.168.10.100    kafka01

192.168.10.101    kafka02

192.168.10.102    kafka03

Kerberos Client 根据需要进行安装,安装后可以使用 kadmin 命令;对应在 Kerberos Server 上使用 kadmin.local 命令。

三、Kerberos Server 安装

[root@kafka01 ~]# yum install krb5-server

1、配置krb5.conf

#编辑配置文件

[root@kafka01 ~]# vim /etc/krb5.conf

# To opt out of the system crypto-policies configuration of krb5, remove the

# symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.

includedir /etc/krb5.conf.d/

[logging]

    default = FILE:/var/log/krb5libs.log

    kdc = FILE:/var/log/krb5kdc.log

    admin_server = FILE:/var/log/kadmind.log

[libdefaults]

    dns_lookup_realm = false

    ticket_lifetime = 24h

    renew_lifetime = 7d

    forwardable = true

    rdns = false

    pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt

#    spake_preauth_groups = edwards25519

    default_realm = NSSPKAFKA.COM  #域

    default_ccache_name = KEYRING:persistent:%{uid}

[realms]

 NSSPKAFKA.COM = {

     kdc =  kafka01   #hostname

     admin_server = kafka01  #hostname

 }

[domain_realm]

 #.kafka01 = NSSPKAFKA.COM

 #kafka01 = NSSPKAFKA.COM
以上配置相关参数
[logging]:日志的位置

[libdefaults]:每种连接的默认配置

  dns_lookup_realm:是否通过 dns 查找需使用的 releam

  ticket_lifetime:凭证的有效时限,一般为 24 小时

  renew_lifetime:凭证最长可以被延期的时限,一般为一周。当凭证过期之后,对安全认证的服务后续访问就会失败

  forwardable:ticket 是否可以被转发(如果用户已经有了一个TGT,当他登入到另一个远程系统,KDC会为他重新创建一个TGT,而不需要让用户重新进行身份认证)

  rdns:如果为 true,则除根据 hostname 正向查找外,同时反向查找对应的 principal。如果 dns_canonicalize_hostname 设置为 false,则此标志不起作用。默认值为 true。

  pkinit_anchors:受信任锚(根)证书的位置;如果用户在命令行上指定X509_anchors,则不使用该配置。

  default_realm:默认的 realm,必须跟要配置的 realm 名称一致

  default_ccache_name:指定默认凭据缓存的名称。默认值为 DEFCCNAME

[realms]:列举使用的 realm

  kdc:kdc 运行的机器

  admin_server:kdc 数据库管理服务运行的机器

[domain_realm]:配置 domain name 或 hostname 对应的 releam

详细说明可参考官网文档:http://web.mit.edu/kerberos/krb5-latest/doc/admin/conf_files/krb5_conf.html。

2、配置kdc.conf (/var/kerberos/krb5kdc/kdc.conf)

[root@kafka01 data]# vim /var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]

    kdc_ports = 88

    kdc_tcp_ports = 88

    spake_preauth_kdc_challenge = edwards25519

[realms]

NSSPKAFKA.COM = {

     #master_key_type = aes256-cts

     acl_file = /var/kerberos/krb5kdc/kadm5.acl

     dict_file = /usr/share/dict/words

     admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab

     supported_enctypes = aes256-cts:normal aes128-cts:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal

}
以上配置相关参数详解
相关参数说明:

[kdcdefaults]:KDC 默认配置

kdc_ports:UDP 端口号

kdc_tcp_ports:TCP 端口号

[realms]:realm 数据库配置

master_key_type:主密钥的密钥类型;默认值为 aes256-cts-hmac-sha1-96。

acl_file:用于指定哪些用户可以访问 kdc 数据库的控制文件;如果不需要现在用户访问,该值可以设为空

dict_file:字典文件位置,该文件中的单词不能被用于密码;如果文件为空,或者没有为用户分配策略,则不会执行密码字典检查。

admin_keytab:KDC 进行校验的 keytab。

supported_enctypes:支持的加密方式,默认为 aes256-cts-hmac-sha1-96:normal aes128-cts-hmac-sha1-96:normal。

详细说明可参考官网文档:https://web.mit.edu/kerberos/krb5-latest/doc/admin/conf_files/kdc_conf.html。
3、创建数据库
[root@kafka01 ~]# kdb5_util create -s -r DATACENTER.COM

四、启动服务

1、启动服务

#开启自启动

[root@kafka01 ~]# systemctl enable krb5kdc.service

Created symlink /etc/systemd/system/multi-user.target.wants/krb5kdc.service → /usr/lib/systemd/system/krb5kdc.service.

#开启Kerberos服务

[root@kafka01 ~]# systemctl start krb5kdc.service 

#开启kadmin服务

[root@kafka01 ~]# systemctl enable kadmin.service

Created symlink /etc/systemd/system/multi-user.target.wants/kadmin.service → /usr/lib/systemd/system/kadmin.service.

[root@kafka01 ~]# systemctl start kadmin.service

2、创建账号

  • Kerberos 服务机器上可以使用 kadmin.local 来执行各种管理的操作。进入 kadmin.local:

    常用操作:

    操作 描述 例子
    add_principal, addprinc, ank 增加 principal add_principal -rnadkey test@ABC.COM
    delete_principal, delprinc 删除 principal delete_principal test@ABC.COM
    modify_principal, modprinc 修改 principal modify_principal test@ABC.COM
    rename_principal, renprinc 重命名 principal rename_principal test@ABC.COM test2@ABC.COM
    get_principal, getprinc 获取 principal get_principal test@ABC.COM
    list_principals, listprincs, get_principals, getprincs 显示所有 principal listprincs
    ktadd, xst 导出条目到 keytab xst -k /root/test.keytab test@ABC.COM 
#执行命令

[root@kafka01 ~]# kadmin.local

kadmin.local:  add_principal admin/admin@NSSPKAFKA.COM

kadmin.local:  add_principal kafka-server/kafka01@NSSPKAFKA.COM

kadmin.local:  add_principal kafka-server/kafka02@NSSPKAFKA.COM

kadmin.local:  add_principal kafka-server/kafka03@NSSPKAFKA.COM

kadmin.local:  add_principal kafka-client@NSSPKAFKA.COM		

#导出账号密钥

kadmin.local: xst -norandkey -k  /root/data/kafka-server1.keytab kafka-server/kafka01@NSSPKAFKA.COM

kadmin.local: xst -norandkey -k  /root/data/kafka-server2.keytab kafka-server/kafka02@NSSPKAFKA.COM

kadmin.local: xst -norandkey -k  /root/data/kafka-server3.keytab kafka-server/kafka03@NSSPKAFKA.COM

kadmin.local: xst -norandkey -k  /root/data/kafka-client.keytab kafka-client@NSSPKAFKA.COM

五、Kerberos Client 安装

在其他集群机器上安装

[root@kafka01 ~]#yum install krb5-workstation

1、配置krb5.conf

从 192.168.10.100 上拷贝 /etc/krb5.conf 并覆盖本地的 /etc/krb5.conf。

#客户端可以是用kadmin命令

[root@kafka01 ~]# kadmin 

kinit(在客户端认证用户)

[root@kafka02 ~]# kinit admin/admin@DATACENTER.COM   #输入密码认证完成

#查看当前的认证用户

[root@kafka01 ~]# klist

#kdestroy(删除当前的认证缓存)

[root@kafka01 ~]# kdestroy

六、kafka集群开启kerberos认证

1、机器准备
序号 IP 主机 部署服务
1 192.168.10.100 kafka01 zookeeper、kafka
2 192.168.10.101 kafka02 zookeeper、kafka
3 192.168.10.102 kafka03 zookeeper、kafka
绑定host文件
[root@kafka01 ~]# cat /etc/hosts

192.168.10.100    kafka01

192.168.10.101    kafka02

192.168.10.102    kafka03
2、创建keytab文件

在安装 Kerberos 的机器上进入 kadmin(Kerberos 服务端上使用 kadmin.local,安装了 Kerberos Client 的机器上可以使用 kadmin),然后执行如下命令分别创建服务端和客户端的 keytab:

#执行命令

[root@kafka01 ~]# kadmin.local

kadmin.local:  add_principal admin/admin@NSSPKAFKA.COM

kadmin.local:  add_principal kafka-server/kafka01@NSSPKAFKA.COM

kadmin.local:  add_principal kafka-server/kafka02@NSSPKAFKA.COM

kadmin.local:  add_principal kafka-server/kafka03@NSSPKAFKA.COM

kadmin.local:  add_principal kafka-client@NSSPKAFKA.COM		

#导出账号密钥

kadmin.local: xst -norandkey -k  /root/data/kafka-server1.keytab kafka-server/kafka01@NSSPKAFKA.COM

kadmin.local: xst -norandkey -k  /root/data/kafka-server2.keytab kafka-server/kafka02@NSSPKAFKA.COM

kadmin.local: xst -norandkey -k  /root/data/kafka-server3.keytab kafka-server/kafka03@NSSPKAFKA.COM

kadmin.local: xst -norandkey -k  /root/data/kafka-client.keytab kafka-client@NSSPKAFKA.COM
3、Kerberos相关配置

拷贝 krb5.conf 及 keytab 文件到所有安装 Kafka 的机器,这里把文件都放到 Kafka 的 config/kerveros 目录下(kerberos 目录需新建)。

[root@kafka01 kerberos]# pwd

/opt/kafka_2.12-3.9.0/config/kerberos

[root@kafka01 kerberos]# ll

total 24

-rw-r--r-- 1 root root  95 Mar 10 15:53 client.properties

-rw-r--r-- 1 root root 246 Mar 10 16:11 kafka-client-jaas.conf

-rw------- 1 root root 379 Mar 10 16:03 kafka-client.keytab

-rw-r--r-- 1 root root 256 Mar 10 16:10 kafka-server-jaas.conf

-rw------- 1 root root 424 Mar 10 16:01 kafka-server.keytab

-rw-r--r-- 1 root root 786 Mar 10 16:10 krb5.conf
4、Kafka服务端配置(server.properties)
#执行命令

[root@kafka01 config]# vim server.properties

#配置文件开启认证

security.inter.broker.protocol=SASL_PLAINTEXT

sasl.mechanism.inter.broker.protocol=GSSAPI

sasl.enabled.mechanisms=GSSAPI

sasl.kerberos.service.name=kafka-server
5、新建 kafka-server-jaas.conf 文件,该文件也放到 Kafka 的 config/kerveros 目录下
[root@kafka01 kerberos]# cat kafka-server-jaas.conf

KafkaServer {

   com.sun.security.auth.module.Krb5LoginModule required

   useKeyTab=true

   keyTab="/opt/kafka_2.12-3.9.0/config/kerberos/kafka-server.keytab" #这是导出的账号keytab文件 不同的账号不同的文件

   storeKey=true

   useTicketCache=false

   principal="kafka-server/kafka01@DATACENTER.COM";      #不同的机器 不同的账号,

};
6、修改 bin/kafka-server-start.sh 脚本,倒数第二行增加如下配置:
#进入启动脚本

[root@kafka01 bin]# vim kafka-server-start.sh 

#-Dzookeeper.sasl.client=false zk没有开启认证就设置false

export KAFKA_OPTS="-Dzookeeper.sasl.client=false -Dzookeeper.sasl.client.username=zk-server -Djava.security.krb5.conf=/opt/kafka_2.12-3.9.0/config/kerberos/krb5.conf -Djava.security.auth.login.config=/opt/kafka_2.12-3.9.0/config/kerberos/kafka-server-jaas.conf"

客户端配置

7、新建 kafka-client-jaas.conf 文件,该文件也放到 Kafka 的 config/kerveros 目录下。
[root@kafka01 kerberos]# vim kafka-client-jaas.conf

KafkaClient {

   com.sun.security.auth.module.Krb5LoginModule required

   useKeyTab=true

   keyTab="/opt/kafka_2.12-3.9.0/config/kerberos/kafka-client.keytab" #客户端密钥

   storeKey=true

   useTicketCache=true

   principal="kafka-client@DATACENTER.COM"; #客户端账号 这里的';' 不能省略

};

该配置主要为了使用 bin/kafka-topics.sh、bin/kafka-console-consumer.sh、kafka-console-producer.sh 等命令

#三个文件倒数第二行 新增以下内容

export KAFKA_OPTS="-Djava.security.krb5.conf=/opt/kafka_2.12-3.9.0/config/kerberos/krb5.conf -Djava.security.auth.login.config=/opt/kafka_2.12-3.9.0/config/kerberos/kafka-client-jaas.conf"

七、启动测试

#查看topic

[root@kafka01 ~]# sh /opt/kafka_2.12-3.9.0/bin/kafka-topics.sh --list --bootstrap-server kafka:9092 --command-config /opt/kafka_2.12-3.9.0/config/kerberos/client.properties

#创建topic & 测试链接

[root@kafka01 ~]# sh /opt/kafka_2.12-3.9.0/bin/kafka-topics.sh --create --topic test --partitions 1 --replication-factor 1 --bootstrap-server localhost:9092 --command-config /opt/kafka_2.12-3.9.0/config/kerberos/client.properties

#生产者

[root@kafka01 ~]# sh /opt/kafka_2.12-3.9.0/bin/kafka-console-producer.sh --topic test --bootstrap-server nsspmsg.com:9092 --producer.config /opt/kafka_2.12-3.9.0/config/kerberos/client.properties

#消费者

[root@kafka01 ~]# sh /opt/kafka_2.12-3.9.0/bin/kafka-console-consumer.sh --topic test --from-beginning --bootstrap-server nsspmsg.com:9092 --consumer.config /opt/kafka_2.12-3.9.0/config/kerberos/client.properties

kafka开启kerberos认证详细步骤的更多相关文章

  1. flume集成kafka(kafka开启kerberos)配置

    根据flume官网:当kafka涉及kerberos认证: 涉及两点配置,如下: 配置一:见下实例中红色部分 配置conf实例: [root@gz237-107 conf]# cat flume_sl ...

  2. cloudera集群开启kerberos认证后,删除zk中的/hbase目录

    问题 在cdh集群中开启了kerberos认证,hbase集群出现一点问题,需要通过zookeeper-client访问zookeeper,删除/hbase节点时候报错:Authentication ...

  3. Kafka开启SASL认证 【windowe详细版】

    一.JAAS配置 Zookeeper配置JAAS zookeeper环境下新增一个配置文件,如zk_server_jass.conf,内容如下: Server { org.apache.kafka.c ...

  4. KafKa集群安装详细步骤

    最近在使用Spring Cloud进行分布式微服务搭建,顺便对集成KafKa的方案做了一些总结,今天详细介绍一下KafKa集群安装过程: 1. 在根目录创建kafka文件夹(service1.serv ...

  5. kerberos认证的步骤,学习笔记

    .KDC,uname,upwd -x算法=>authticator 暗号 .KDC ->uname,pwd->x1算法->解密authticator 确认客户端身份->生 ...

  6. flume集成hdfs(hdfs开启kerberos认证)

    )当 sink 到 hdfs 时: ) 需修改 flume-env.sh 配置,增添 hdfs 依赖库: FLUME_CLASSPATH="/root/TDH-Client/hadoop/h ...

  7. 配置两个Hadoop集群Kerberos认证跨域互信

    两个Hadoop集群开启Kerberos验证后,集群间不能够相互访问,需要实现Kerberos之间的互信,使用Hadoop集群A的客户端访问Hadoop集群B的服务(实质上是使用Kerberos Re ...

  8. MongDB开启权限认证

    在生产环境中MongoDB已经使用有一段时间了,但对于MongoDB的数据存储一直没有使用到权限访问(MongoDB默认设置为无权限访问限制),最近在酷壳网看了一篇技术文章(https://cools ...

  9. spark 2.x在windows环境使用idea本地调试启动了kerberos认证的hive

    1 概述 开发调试spark程序时,因为要访问开启kerberos认证的hive/hbase/hdfs等组件,每次调试都需要打jar包,上传到服务器执行特别影响工作效率,所以调研了下如何在window ...

  10. 通过BulkLoad快速将海量数据导入到Hbase(TDH,kerberos认证)

    一.概念 使用BlukLoad方式利用Hbase的数据信息是 按照特点格式存储在HDFS里的特性,直接在HDFS中生成持久化的Hfile数据格式文件,然后完成巨量数据快速入库的操作,配合MapRedu ...

随机推荐

  1. Qt开发经验小技巧206-210

    有时候需要对文本进行分散对齐显示,相当于无论文字多少,尽可能占满整个空间平摊占位宽度,但是在对支持对齐方式的控件比如QLabel调用 setAlignment(Qt::AlignJustify | Q ...

  2. [转]Microsoft Robotics Studio:微软仿真机器人集成开发环境,简称MSRS

    原文链接:Microsoft Robotics Studio 微软官网:Robotics: Simulating the World with Microsoft Robotics Studio 其它 ...

  3. 即时通讯技术文集(第22期):IM安全相关文章(Part1) [共13篇]

    ​为了更好地分类阅读 52im.net 总计1000多篇精编文章,我将在每周三推送新的一期技术文集,本次是第22 期. [- 1 -] 即时通讯安全篇(一):正确地理解和使用Android端加密算法 ...

  4. IM开发干货分享:有赞移动端IM的组件化SDK架构设计实践

    本文由有赞技术团队原创分享,原题"有赞 APP IM SDK 组件架构设计",即时通讯网收录时有修订和改动,感谢原作者的无私分享. 1.引言 本文主要以Android客户端为例,记 ...

  5. 2022 年数据科学研究综述:重点介绍 ML、DL、NLP 等

    2022 年数据科学研究综述:重点介绍 ML.DL.NLP 等 当我们在 2022 年底临近时,我对许多著名研究小组完成的所有惊人工作感到振奋,他们将 AI.机器学习.深度学习和 NLP 的状态扩展到 ...

  6. WPF 怎么利用behavior优雅的给一个Datagrid添加一个全选的功能

    前言:我在迁移旧项目代码的时候发现别人写很多界面都涉及到一个DataGrid的全选,但是每个都写的很混乱,现在刚好空闲下来,写一个博客, 给部分可能不太会写这个的同学讲一下,怎么实现全选功能,并且可以 ...

  7. Java常用框架面试题

    SpringSpring如何解决循环依赖循环依赖的产生可能有很多种情况,例如: A的构造方法中依赖了B的实例对象,同时B的构造方法中依赖了A的实例对象A的构造方法中依赖了B的实例对象,同时B的某个fi ...

  8. linux:lnmp环境

    简介 LNMP 环境是指在 Linux 系统下,由 Nginx + MySQL/MariaDB + PHP 组成的网站服务器架构. 配置 软件介绍 linux:centos6.5 ngnix:ngin ...

  9. Codeforces Round 957 (Div. 3)

    题目链接:Codeforces Round 957 (Div. 3) 总结:E不懂,F差一个set去重 A. Only Pluses fag:枚举 B. Angry Monk fag:模拟 Solut ...

  10. DeepSeek V3 两周使用总结

    2024 年 12 月 26 日,杭州深度求索人工智能基础技术研究有限公司发布 DeepSeek-V3 大模型.官方宣称:(1)基于自研的 MoE 模型和 671B 参数,在 14.8T token ...