对于一个启用了 Kerberos 的正式生产系统,还需要考虑 KDC 的高可用。而 Kerberos 服务是支持配置为主备模式的,数据同步是通过 kprop 服务将主节点的数据同步到备节点。在购买了腾讯云 EMR 高可用安全集群后,Kerberos 默认是高可用的,用户无需任何配置。
本文主要介绍 Kerberos 服务高可用的相关配置和使用。
配置 /etc/krb5.conf
文件,设置如下:
注意:示例中配置了两个 KDC 地址,active kdc 和 backup kdc,这样能保证当其中任意一个 KDC 服务异常时,仍可以对集群提供正常的 KDC 服务。
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_realm = REALM
default_tgs_enctypes = des3-cbc-sha1
default_tkt_enctypes = des3-cbc-sha1
permitted_enctypes = des3-cbc-sha1
[realms]
REALM = {
kdc = active_kdc:88
admin_server = active_kdc
kdc = backup_kdc:88
admin_server = backup_kdc
}
[domain_realm]
# .example.com = EXAMPLE.COM
/var/kerberos/krb5kdc/kpropd.acl
配置文件。host/active_kdc@REALM
host/backup_kdc@REALM
/var/kerberos/krb5kdc/kpropd.acl
文件/var/kerberos/krb5kdc/kpropd.acl
后,两个 kdc server 上会生成 /etc/krb5.keyta
文件。同时,两个 kdc server 也会启动 kprop 服务。[root@10 krb5kdc]# service kprop status
Redirecting to /bin/systemctl status kprop.service
kprop.service - Kerberos 5 Propagation
Loaded: loaded (/usr/lib/systemd/system/kprop.service; disabled; vendor preset: disabled)
Active: active (running) since Thu 2020-05-07 15:33:35 CST; 1h 9min ago
Process: 3752 ExecStart=/usr/sbin/_kpropd $KPROPD_ARGS (code=exited, status=0/SUCCESS)
Main PID: 3753 (kpropd)
CGroup: /system.slice/kprop.service
└─3753 /usr/sbin/kpropd
kdb5_util dump /var/kerberos/krb5kdc/master.dump & kprop -f /var/kerberos/krb5kdc/master.dump -d -P 754 backup_kdc
kadmin.local "-q addprinc -randkey test"
kadmin.local "-q listprincs"|grep test
本页内容是否解决了您的问题?