我目前正在为Ambari Hortonworks环境设置Kerberos。由于多种原因,我无法使用不同的域名作为此安装的 Realm 名称。这很奇怪,因为-根据我的阅读- Realm 名称只是按照约定设置为域名。理论上,它可以是任何ASCII字符串。
对于这种Ambari环境,我基本上是在尝试设置Kerberos,
[libdefaults]
default_realm = FOOBAR
实际上,我当前的krb5.conf看起来像这样:
[libdefaults]
renew_lifetime = 7d
forwardable = true
default_realm = FOOBAR
ticket_lifetime = 24h
dns_lookup_realm = false
dns_lookup_kdc = false
rdns = false
default_ccache_name = /tmp/krb5cc_%{uid}
#default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
#default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
[domain_realm]
#Not sure how to use this mapping property in this case
FOOBAR = FOOBAR
.FOOBAR = FOOBAR
[logging]
default = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
kdc = FILE:/var/log/krb5kdc.log
[realms]
FOOBAR = {
admin_server = {admin ip adress}
kdc = {kdc ip address}
}
/ etc / hosts
{kdc ip address} FOOBAR kdc
一个应该能够与主机文件短路DNS检查。但是我似乎无法使Kerberos以这种方式工作。到目前为止,我在网上找到的所有文档都描述了遵循DNS约定的良好安全的设置。
任何人都可以指向教程,或描述使Kerberos在没有域名的情况下工作的必要步骤吗?
最佳答案
鉴于缺乏有用的回应,我只会分享我最终使用的内容(可行,但可能不是最佳选择)
[libdefaults]
renew_lifetime = 7d
forwardable = true
default_realm = FOOBAR
ticket_lifetime = 24h
dns_lookup_realm = false
dns_lookup_kdc = false
default_ccache_name = /tmp/krb5cc_%{uid}
#default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
#default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
[domain_realm]
FOOBAR = FOOBAR
.FOOBAR = FOOBAR
[logging]
default = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
kdc = FILE:/var/log/krb5kdc.log
[realms]
FOOBAR = {
admin_server = {admin_server ip}
kdc = {kdc_server ip}
}
另外,请确保将群集中所有计算机的IP地址和主机名添加到/ etc / hosts文件中。
关于hadoop - 如何在没有域名的情况下设置Kerberos领域,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53290348/