CentOS yum 方式安装配置Kerberos全攻略

一、Kerberos认证概述

Kerberos是一种基于票据（Ticket）的分布式网络认证协议，通过可信第三方（KDC）实现客户端与服务端的双向身份验证。其核心优势在于：

1. 安全性：采用对称加密技术，避免明文传输密码
2. 单点登录：用户只需一次认证即可访问多个服务
3. 可扩展性：支持跨域认证和大规模网络部署

在CentOS系统中，我们可以通过yum包管理器快速部署Kerberos服务端（KDC）和客户端组件，相比手动编译安装更显高效可靠。

二、安装前环境准备

2.1 系统要求

• CentOS 7/8（推荐使用最新稳定版）
• 最小2GB内存（生产环境建议4GB+）
• 至少20GB可用磁盘空间
• 静态IP地址配置

2.2 网络配置检查

# 查看IP配置
ip addr show
# 测试DNS解析
nslookup kdc.example.com

确保主机名能正确解析到IP地址，建议配置/etc/hosts文件：

192.168.1.10 kdc.example.com kdc

2.3 时间同步配置

Kerberos对时间敏感度极高（默认允许5分钟时差），需配置NTP服务：

yum install chrony -y
systemctl enable --now chronyd
chronyc sources

三、yum安装Kerberos组件

3.1 配置EPEL仓库（如需）

yum install epel-release -y

3.2 安装KDC服务端

yum install krb5-server krb5-libs krb5-workstation -y

安装完成后，主要生成以下文件：

• /var/kerberos/krb5kdc/principal：主数据库文件
• /etc/krb5.conf：全局配置文件
• /var/kerberos/krb5kdc/kdc.conf：KDC专用配置

3.3 安装客户端工具

yum install krb5-workstation -y

四、Kerberos服务端配置

4.1 修改krb5.conf主配置

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log
[libdefaults]
 default_realm = EXAMPLE.COM
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 default_tgs_enctypes = aes256-cts
 default_tkt_enctypes = aes256-cts
[realms]
 EXAMPLE.COM = {
  kdc = kdc.example.com
  admin_server = kdc.example.com
 }
[domain_realm]
 .example.com = EXAMPLE.COM
 example.com = EXAMPLE.COM

4.2 配置KDC专用参数

编辑/var/kerberos/krb5kdc/kdc.conf：

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88
[realms]
 EXAMPLE.COM = {
  master_key_type = aes256-cts
  supported_enctypes = aes256-cts:normal aes128-cts:normal
  max_life = 8h 0m 0s
  max_renewable_life = 7d 0h 0m 0s
 }

4.3 创建Kerberos数据库

# 创建数据库（会提示输入master密码）
krb5kdc_newrealm
# 验证数据库文件
ls -l /var/kerberos/krb5kdc/principal*

五、启动Kerberos服务

5.1 服务管理

systemctl enable --now krb5kdc
systemctl enable --now kadmin
# 检查服务状态
systemctl status krb5kdc kadmin

5.2 防火墙配置

firewall-cmd --permanent --add-port={88,749}/tcp
firewall-cmd --reload

六、管理Kerberos主体

6.1 使用kadmin工具

kadmin.local -q "addprinc admin/admin"

系统会提示输入密码，建议使用强密码策略。

6.2 创建服务主体示例

kadmin.local -q "addprinc -randkey host/service.example.com"
kadmin.local -q "ktadd -k /etc/service.keytab host/service.example.com"

七、客户端配置与测试

7.1 客户端krb5.conf同步

将服务端的/etc/krb5.conf复制到客户端对应位置。

7.2 获取票据测试

kinit admin/admin
klist  # 查看获取的票据

7.3 完整认证流程测试

# 创建测试主体
kadmin.local -q "addprinc testuser"
# 客户端获取票据
kinit testuser
# 访问服务测试（需服务端配置）

八、高级配置选项

8.1 多域信任配置

在/etc/krb5.conf中添加：

[capaths]
 EXAMPLE.COM = {
  SUB.EXAMPLE.COM = .
 }

8.2 日志轮转配置

编辑/etc/logrotate.d/krb5：

/var/log/krb5libs.log /var/log/krb5kdc.log /var/log/kadmind.log {
    weekly
    missingok
    rotate 4
    compress
    notifempty
    copytruncate
}

九、常见问题解决

9.1 时钟不同步问题

# 查看时间差
date; ssh kdc.example.com date
# 强制同步时间
systemctl stop chronyd
chronyd -q "server kdc.example.com iburst"
systemctl start chronyd

9.2 数据库损坏修复

# 备份现有数据库
cp /var/kerberos/krb5kdc/principal{,.bak}
# 重建数据库（需master密码）
krb5kdc_newrealm

十、最佳实践建议

1. 定期备份：每周备份/var/kerberos/krb5kdc/目录
2. 密码策略：设置主体密码过期策略（通过kadmin.local的modprinc命令）
3. 监控告警：配置监控检查KDC服务状态和票据数量
4. 审计日志：开启详细日志记录认证事件

十一、扩展应用场景

1. Hadoop生态集成：配置HDFS、Hive等组件使用Kerberos认证
2. Web应用SSO：通过SPNEGO实现浏览器无感知认证
3. 跨域认证：建立Kerberos信任关系实现多域单点登录

通过yum方式安装的Kerberos服务，结合CentOS系统的稳定性，能够为企业提供可靠的身份认证基础架构。建议定期更新krb5相关软件包以获取最新安全补丁。