ssh單點登入-第一步 配置mac和kerberos認證

原創 寇1079097422 2020-04-13 20:03

基礎
系統 Centos 7
目標
mac ==> Kerberos 驗證權限,獲取ticket

服務器端安裝
安裝軟件
sudo yum install krb5-server krb5-libs pam_krb5 -y

修改配置文件
krb5.conf
kerberos的配置文件 下面是配置文件詳解
配置文件參考文檔

提前設置後配置文件中用到的域名解析.
kerberos.yufuid.org ==> 10.0.12.12

sudo vim /etc/krb5.conf

includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h \ticket過期時間
renew_lifetime = 7d \可續期的時間,時間內不需要輸入權限,即可續簽票證.windows,mac可在用戶無感知情況下,完成續期
forwardable = true
rdns = false
pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
default_realm = YUFUID.ORG \ 這裏需要和下方realms中相同.字段無具體意義,只需要相同即可.
default_ccache_name = KEYRING:persistent:%{uid}

dns_lookup_kdc = false
[realms]
YUFUID.ORG = { \ 修改次字段,字段無具體意義,只需要相同即可.
kdc = kerberos.yufuid.org \填寫kdc的服務器地址,我們的demo中kerberos和kdc安裝在一臺服務器上,填寫此臺服務器ip或者域名.
admin_server = kerberos.yufuid.org \填寫此臺服務器ip或者域名
}

[domain_realm]
.yufuid.org = YUFUID.ORG \ 標準寫法,前方是後期需要接入kerberos認證資源的域名.例如: appservice1.yufuid.org需要通過 kerberos進行ssh認證.
yufuid.org = YUFUID.ORG
kdc.conf
kdc是kerberos的數據庫,主要存儲認證信息

sudo vim /var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88

[realms]
YUFUID.ORG = { \ 修改次字段,字段無具體意義,只需要相同即可.
#master_key_type = aes256-cts
acl_file = /var/kerberos/krb5kdc/kadm5.acl
dict_file = /usr/share/dict/words
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
}
創建數據庫
使用之前realms中的標籤字段
創建時設置kdb數據庫密碼

$ kdb5_util create -s -r YUFUID.ORG

Loading random data
Initializing database ‘/var/kerberos/krb5kdc/principal’ for realm ‘YUFUID.COM’,
master key name ‘K/[email protected]
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key:
Re-enter KDC database master key to verify:
kdb5_util: Permission denied while creating database ‘/var/kerberos/krb5kdc/principal’
修改acl
設置可以訪問kdb的用戶和來源主機

sudo vim /var/kerberos/krb5kdc/kadm5.acl

*/[email protected] *
初始化數據庫
使用本地管理員進入kdc,創建nanzhang 的用戶
kerberos常用命令

kadmin.local
Authenticating as principal root/[email protected] with password.
kadmin.local: addprinc nanzhang
WARNING: no policy specified for [email protected]; defaulting to no policy
Enter password for principal “[email protected]”:
Re-enter password for principal “[email protected]”:
Principal “[email protected]” created.

創建管理員賬戶

kadmin.local: addprinc root/admin
WARNING: no policy specified for root/[email protected]; defaulting to no policy
Enter password for principal “root/[email protected]”:
Re-enter password for principal “root/[email protected]”:
Principal “root/[email protected]” created.

查看nanzhang和管理員 用戶

kadmin.local: listprincs
K/[email protected]
kadmin/[email protected]
kadmin/[email protected]
kadmin/[email protected]
kiprop/[email protected]
krbtgt/[email protected]
[email protected]
root/[email protected]
kadmin.local:
啓動kerberos服務

sudo systemctl restart krb5kdc.service
sudo systemctl restart kadmin.service
sudo systemctl enable krb5kdc.service
sudo systemctl enable kadmin.service
到此服務器端配置完畢
mac客戶端安裝
mac版本
10.14.3

修改mac下的ker配置
配置文件內容和服務器/etc/krb5.conf相同,但是沒有這一行 "includedir /etc/krb5.conf.d/
"

vim /Library/Preferences/edu.mit.Kerberos

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h \ticket過期時間
renew_lifetime = 7d \可續期的時間,時間內不需要輸入權限,即可續簽票證.windows,mac可在用戶無感知情況下,完成續期
forwardable = true
rdns = false
pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
default_realm = YUFUID.ORG \ 這裏需要和下方realms中相同.字段無具體意義,只需要相同即可.
default_ccache_name = KEYRING:persistent:%{uid}

dns_lookup_kdc = false
[realms]
YUFUID.ORG = { \ 修改次字段,字段無具體意義,只需要相同即可.
kdc = kerberos.yufuid.org \填寫kdc的服務器地址,我們的demo中kerberos和kdc安裝在一臺服務器上,填寫此臺服務器ip或者域名.
admin_server = kerberos.yufuid.org \填寫此臺服務器ip或者域名
}

[domain_realm]
.yufuid.org = YUFUID.ORG \ 標準寫法,前方是後期需要接入kerberos認證資源的域名.例如: appservice1.yufuid.org需要通過 kerberos進行ssh認證.
yufuid.org = YUFUID.ORG
通過認證,測試mac端訪問kerberos服務器端
通過iterm

Sam-MacBook-Air:~ Sam$ kinit nanzhang
[email protected]’s password:
Sam-MacBook-Air:~ Sam$ klist
Credentials cache: API:4C347D78-DC4B-435E-B4EC-1372A0919F46
Principal: [email protected]

Issued Expires Principal
Jun 18 14:28:51 2019 Jun 19 14:28:46 2019 krbtgt/[email protected]

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

2013-12-11 JSP開發

曾經迷戀純面向對象的開發方式,現在發現JSP開發的東西挺不錯的。 我比較服從領導安排,順着安排也喜歡自己多折騰下。最近幾個月開始在OMD**項目組,ISM**項目組參與web開發,其中前端都是用到了JSP。 OMD**的jsp頁面風格清爽

请叫我秀才 2020-07-03 09:07:07

匯付聚合支付自助接入解決方案快捷支付接口代碼詳解

       上篇文章 《匯付聚合支付自助接入的一點經驗分享》 發出後,受到衆多朋友的閱讀與評論,在此感謝大家的厚愛。看有些朋友評論說:很有用,能不能再講具體一點,今天我就應大夥需求,來具體講一講裏面的內容。截至目前,我們對接使用的匯付的

请叫我秀才 2020-07-03 09:07:06

匯付聚合支付自助接入的一點經驗分享

      近日,看到有些朋友在提問如何對接聚合支付,本人近期剛好對接過一家三方支付,有一點經驗心得,算是供大家參考吧,不喜勿噴。         本人對接的聚合支付是一家三方支付的聚合支付解決方案,叫匯付天下聚合支付自助接入解決方案來着

请叫我秀才 2020-07-03 09:07:05

Python快樂學習之01

有些人糾結學Python 2還是Python 3,只想說一句,學哪一個先都沒關係,只要持續學習任意一款編程語言,其他的都可以觸類旁通。 不過有一點值得注意:官方宣佈,2020 年 1 月 1 日, 停止 Python 2 的更新。   本

乡村彩虹 2020-06-30 18:23:30

something about flower and Panthera

一、響應式服務編程以及Flower框架 響應式服務編程有以下幾個特點: 即時響應,應用的調用者可以即時得到響應,無需等到整個應用程序執行完畢,也就是說應用調用是非阻塞的。 回彈性,當應用程序部分功能失效的時候,應用系統本身能夠進行自

龙哥虎弟 2020-06-30 01:47:50

關於C#中通過IIS遍歷服務器相應目錄的問題之關於C#中控制IIS的問題(DirectoryEntry )

最近要做一個小工具,需要用到的就是從服務器的一個文件中下載其中的所有文件。 暫不考慮文件夾下有文件夾的情況存在。結果在網上找了N多資源,發現大部分都是針對本機時文件遍歷的詳解,而真正能解決這個問題的卻是少之又少。 我無可奈何,但我又不忍放

llddyy123wq 2020-06-28 22:48:56

Domain Driven Design領域驅動設計

大圖:   1、interface(用戶界面層)     DTO數據傳輸對象(Data Transfer Object)         DTO是數據傳輸的載體,內部不應該存在任何業務邏輯,通過DTO把內部的領域對象與外界隔離     

君悅黎心 2020-06-28 15:51:27

adb 命令簡單使用

adb 命令使用 一.複製文件 adb push local /sdcard/test.txt 將文件推到手機或模擬器 adb pull /sdcard/test.txt local 將文件從手機複製到本地 二.通過w

YushiCloud 2020-06-23 06:57:23

linux下文件字符編碼轉換

有時候從windows環境傳到linux系統的文件存在編碼問題,使用vim 打開文件,然後輸入:set ff可以查看文件編碼爲dos格式。轉換方法有三種: 1、最強力的一種: dos2unix 文件名 2、若系統上沒有dos2un

m0_46560389 2020-06-22 02:39:45

pycharm中python文件模版

!/usr/bin/env python encoding: utf-8 “”" @author: xxxx @license: © Copyright 2018-2020, xxxx @contact: [email protected]

m0_46560389 2020-06-22 02:02:23

Unix常用命令(一)

(一)基本命令 命令格式: 命令 參數 1.ls 顯示文件名,等同於dos下dir命令 命令格式:ls [option] file option: -l 顯示詳細列表 域1 :文件類型和文件權限 域2 :文件連接數 域3 :文件所

m0_46560389 2020-06-22 02:02:22

套接字,IPC

主要是記錄apue裏面的一些概念 網絡IPC,unix域套接字(也就是本機IPC的一種實現) 附件demo: https://pan.baidu.com/s/1CdWYyUSiNEqP9x4ffkXviw 需要編譯apue3的靜態

m0_46560389 2020-06-22 02:02:22

Linux 系統發展史小覽 (與Unix區別科普文)

不少人雖然知道 Unix、Linux等操作系統,甚至可能是技術高手,但知道它們之間那千絲萬縷關係的人並不多。其實, Unix,Linux,macOS甚至 iOS、Android 這些操作系統的淵源都頗深! 本文旨在讓大家瞭解科技界

m0_46560389 2020-06-22 02:02:22

Unix常用命令(二)

二、 Aix使用入門 對於大多數用戶來說,對於Aix的訪問都是通過telnet的方法來登錄到RS6000上,當然是以不同的身份了。把本地機器作爲RS6000的一個終端,來完成對R S6000的操作。這實際上是Unix的一大特點,U

m0_46560389 2020-06-22 02:02:22

Linux -- sed命令(4)

2 多行刪除命令 單行刪除命令d用來刪除模式空間中的當前行。但和 N 命令一起使用時,使用單行刪除命令就要小心了。 $ sed ‘N ; /System\nAdministrator/d’ data4.txt All System

m0_46560389 2020-06-22 02:02:21