解析：kerberos主從雙kdc如何做到可靠性保障

Kerberos作為認(rèn)證系統(tǒng)，其在交互速度上要優(yōu)于密鑰認(rèn)證，復(fù)雜度上又要低于開(kāi)發(fā)、搭建一整套的認(rèn)證系統(tǒng)，被一些看中性能且需要安全的集群系統(tǒng)所青睞。例如舊版本的hadoop的并沒(méi)有安全保障，但隨著業(yè)務(wù)場(chǎng)景增多，hadoop中存在的用戶信息變成了攻擊的目標(biāo)，hadoop便增加Kerberos及ssl等安全配置項(xiàng)。

搭建、配置kerberos的過(guò)程比較繁瑣，主要涉及到krb5.conf、kdc.conf配置文件及一些命令操作，如創(chuàng)建目標(biāo)realm對(duì)應(yīng)數(shù)據(jù)庫(kù)、添加認(rèn)證用戶等等，但是這些了解了kerberos的一些基本概念后還是比較容易完成的，網(wǎng)上也可以搜到不少類似的指導(dǎo)文檔。

在業(yè)務(wù)集群運(yùn)行時(shí)交互涉及的信息，需要初始配置階段就需要完成的，也就是說(shuō)業(yè)務(wù)運(yùn)行過(guò)程中實(shí)際沒(méi)kadmind多少事，即使down掉也不影響到系統(tǒng)運(yùn)行。但是業(yè)務(wù)集群中的節(jié)點(diǎn)在運(yùn)行時(shí)需要通過(guò)KDC獲取TGT認(rèn)證，此時(shí)KDCdown掉集群就over了，完全無(wú)法提供服務(wù)。

Kerberos實(shí)際上是支持多KDC配置的，從可靠性角度看兩個(gè)KDC足以保證。但是配置中涉及到數(shù)據(jù)同步問(wèn)題還是比較蛋疼的，在實(shí)際配置中確實(shí)就遇到過(guò)kpropd無(wú)法同步KDC中數(shù)據(jù)的問(wèn)題。

krb5.conf中realms配置雙KDC

[realms]

XXXXX.COM = {

kdc= kerberos.xxxxx.com

kdc= kerberos2. xxxxx.com

admin_server = kerberos. xxxxx.com

default_domain = xxxxx.com

}

Kerberos由主KDC中同步到從KDC主要兩個(gè)步驟：

1.?dump主KDC中的數(shù)據(jù)

kdb5_util dump /your_path/kdc.dump

2.?借助kprop命令通知從節(jié)點(diǎn)kpropd進(jìn)程同步數(shù)據(jù)：

kprop -f? /your_path/kdc.dump kerberos2.xxxxx.com

一般情況下主節(jié)點(diǎn)上新增用戶信息后，需要進(jìn)行上述步驟同步數(shù)據(jù)，在管理集群時(shí)，新增服務(wù)或者節(jié)點(diǎn)實(shí)際是可控的，因此操作是可控的。

在操作中遇到kprop命令無(wú)法通知從節(jié)點(diǎn)kpropd的情況（通道？認(rèn)證？配置？待解決）。實(shí)際上kprop命令只干了一件大事：通知從節(jié)點(diǎn)kpropd進(jìn)程“你有份.dump快遞請(qǐng)接收”。從節(jié)點(diǎn)kpropd進(jìn)程收到.dump后調(diào)用load命令加載到KDC中，完成數(shù)據(jù)同步。

兩臺(tái)kerberos節(jié)點(diǎn)間也是需要交互認(rèn)證的（添加kerberos配置）。

搞Kprop同步時(shí)，小編是搞了一身一嘴毛，沒(méi)辦法搞了替代方案：

1.?dump master數(shù)據(jù)信息

2.?傳輸.dump文件到kerberos從節(jié)點(diǎn)

3.?從節(jié)點(diǎn)上調(diào)用kdb5_util load命令加載數(shù)據(jù)到KDC中

OK，解決了，但是復(fù)雜度高了。。。

同步OK后，主從KDC進(jìn)程只要OK一個(gè)，業(yè)務(wù)系統(tǒng)的認(rèn)證就不存在可靠性問(wèn)題了。當(dāng)然涉及到的kerberos進(jìn)程都是需要監(jiān)控告警的，任何一個(gè)進(jìn)程出問(wèn)題都是要立馬解決的O。

限于只是條咸魚(yú)，經(jīng)驗(yàn)有限，還請(qǐng)多多交流。

Kerberos

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。