配置

1.Kerberos提供了一個集中式的認證服務器結構，認證服務器的功能式實現用戶與其訪問的服務器間的相互鑒別。（采用的是對稱密鑰加密技術）

2.Kerberos單點登錄原理圖?

3.服務環境

2.關閉防火墻和下載krb5軟件包（主服務器(www.skills.com)）,并在/etc/hosts里面添加上相對應ip的主機名.(三臺節點都要)

5.編輯主配置文件(vim /etc/krb5.conf),將里面所有的EXAMPLE.COM改成自己的域名.

6.修改/var/kerberos/krb5kdc/kadm5.acl,將EXAMPLE.COM改成自己的域名.

[root@www ~]# vim /var/kerberos/krb5kdc/kadm5.acl

7.初始化KDC數據庫,并輸入數據庫密碼

[root@www ~]# kdb5_util create -s?

8.重啟服務

[root@www ~]# systemctl restart krb5kdc kadmin
[root@www ~]# systemctl enable krb5kdc kadmin

9.??登錄Kerberos Server服務 root免密登陸kadmin.local,并創建填加Kerberos用戶,?隨機生成一個值作為三太節點的key，并下載主服務器的key.

kadmin.local:  addprinc root/admin
kadmin.local:  addprinc -randkey nfs/www.skills.com
kadmin.local:  addprinc -randkey nfs/nfs.skills.com
kadmin.local:  addprinc -randkey nfs/client.skills.com
kadmin.local:  ktadd nfs/www.skills.com

可以用listprincs查看創建的key

到這主服務器配置完成。

nfs服務機（nfs.skills.com）

1.下載nfs和kdc安裝包

yum -y install krb5-workstation nfs-utils?

2.編輯主配置文件(vim /etc/krb5.conf),將里面所有的EXAMPLE.COM改成自己的域名.

3.密碼登陸kdc數據庫下載key(kadmin)

kadmin
ktadd nfs/nfs.skills.com

4.創建一個需要krb5p加密訪問的nfs掛載文件

mkdir /share 
vim /etc/exports
exportfs -rv

配置文件內容(sec是什么的加密方式).

5.重啟服務

systemctl restart nfs-server

到這配置完成。

nfs客戶機(client.skills.com)

1.因為客戶機和nfs主服務器的kdc配置內容相同我們可以用scp傳配置文件，但不能用scp傳主服務器的配置文件，我們客戶機不包含kdc數據庫,用主服務器的配置文件會報錯找不到數據庫。

2.下載nfs和kdc安裝包

yum -y install krb5-workstation nfs-utils?

3..密碼登陸kdc數據庫下載key(kadmin)

kadmin
ktadd nfs/client.skills.com

4.,重啟服務，創建一個文件夾，掛載share,最后df查看一下.

systemctl restart nfs-server 
mkdir /myshare 
mount 192.168.10.223:/share /share 
df -l

基于kdc加密的nfs掛載成功。