配置

1.Kerberos提供了一個(gè)集中式的認(rèn)證服務(wù)器結(jié)構(gòu)，認(rèn)證服務(wù)器的功能式實(shí)現(xiàn)用戶與其訪問的服務(wù)器間的相互鑒別。（采用的是對(duì)稱密鑰加密技術(shù)）

2.Kerberos單點(diǎn)登錄原理圖?

3.服務(wù)環(huán)境

2.關(guān)閉防火墻和下載krb5軟件包（主服務(wù)器(www.skills.com)）,并在/etc/hosts里面添加上相對(duì)應(yīng)ip的主機(jī)名.(三臺(tái)節(jié)點(diǎn)都要)

5.編輯主配置文件(vim /etc/krb5.conf),將里面所有的EXAMPLE.COM改成自己的域名.

6.修改/var/kerberos/krb5kdc/kadm5.acl,將EXAMPLE.COM改成自己的域名.

[root@www ~]# vim /var/kerberos/krb5kdc/kadm5.acl

7.初始化KDC數(shù)據(jù)庫,并輸入數(shù)據(jù)庫密碼

[root@www ~]# kdb5_util create -s?

8.重啟服務(wù)

[root@www ~]# systemctl restart krb5kdc kadmin
[root@www ~]# systemctl enable krb5kdc kadmin

9.??登錄Kerberos Server服務(wù) root免密登陸kadmin.local,并創(chuàng)建填加Kerberos用戶,?隨機(jī)生成一個(gè)值作為三太節(jié)點(diǎn)的key，并下載主服務(wù)器的key.

kadmin.local:  addprinc root/admin
kadmin.local:  addprinc -randkey nfs/www.skills.com
kadmin.local:  addprinc -randkey nfs/nfs.skills.com
kadmin.local:  addprinc -randkey nfs/client.skills.com
kadmin.local:  ktadd nfs/www.skills.com

可以用listprincs查看創(chuàng)建的key

到這主服務(wù)器配置完成。

nfs服務(wù)機(jī)（nfs.skills.com）

1.下載nfs和kdc安裝包

yum -y install krb5-workstation nfs-utils?

2.編輯主配置文件(vim /etc/krb5.conf),將里面所有的EXAMPLE.COM改成自己的域名.

3.密碼登陸kdc數(shù)據(jù)庫下載key(kadmin)

kadmin
ktadd nfs/nfs.skills.com

4.創(chuàng)建一個(gè)需要krb5p加密訪問的nfs掛載文件

mkdir /share 
vim /etc/exports
exportfs -rv

配置文件內(nèi)容(sec是什么的加密方式).

5.重啟服務(wù)

systemctl restart nfs-server

到這配置完成。

nfs客戶機(jī)(client.skills.com)

1.因?yàn)榭蛻魴C(jī)和nfs主服務(wù)器的kdc配置內(nèi)容相同我們可以用scp傳配置文件，但不能用scp傳主服務(wù)器的配置文件，我們客戶機(jī)不包含kdc數(shù)據(jù)庫,用主服務(wù)器的配置文件會(huì)報(bào)錯(cuò)找不到數(shù)據(jù)庫。

2.下載nfs和kdc安裝包

yum -y install krb5-workstation nfs-utils?

3..密碼登陸kdc數(shù)據(jù)庫下載key(kadmin)

kadmin
ktadd nfs/client.skills.com

4.,重啟服務(wù)，創(chuàng)建一個(gè)文件夾，掛載share,最后df查看一下.

systemctl restart nfs-server 
mkdir /myshare 
mount 192.168.10.223:/share /share 
df -l

基于kdc加密的nfs掛載成功。