我目前正在为Ambari Hortonworks环境设置Kerberos。由于多种原因,我无法使用不同的域名作为此安装的领域名称。这很奇怪,因为-根据我的阅读-领域名称只是按照约定设置为域名。从理论上讲,它可以是任何ASCII字符串。
对于这种Ambari环境,我实质上是在尝试在
处设置Kerberos。[libdefaults]
default_realm = FOOBAR
实际上,我当前的krb5.conf看起来像这样:
[libdefaults]
renew_lifetime = 7d
forwardable = true
default_realm = FOOBAR
ticket_lifetime = 24h
dns_lookup_realm = false
dns_lookup_kdc = false
rdns = false
default_ccache_name = /tmp/krb5cc_%{uid}
#default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
#default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
[domain_realm]
#Not sure how to use this mapping property in this case
FOOBAR = FOOBAR
.FOOBAR = FOOBAR
[logging]
default = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
kdc = FILE:/var/log/krb5kdc.log
[realms]
FOOBAR = {
admin_server = {admin ip adress}
kdc = {kdc ip address}
}
/ etc / hosts
{kdc ip address} FOOBAR kdc
一个人应该能够通过主机文件使DNS检查短路。但是我似乎无法使Kerberos以这种方式工作。到目前为止,我在网上找到的所有文档都描述了遵循DNS约定的美观,安全的设置。 任何人都可以指向教程,或描述使Kerberos在没有域名的情况下工作的必要步骤吗?
答案 0 :(得分:0)
鉴于缺乏帮助,我只会分享我最终使用的内容(可行,但可能不是最佳选择)
[libdefaults]
renew_lifetime = 7d
forwardable = true
default_realm = FOOBAR
ticket_lifetime = 24h
dns_lookup_realm = false
dns_lookup_kdc = false
default_ccache_name = /tmp/krb5cc_%{uid}
#default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
#default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
[domain_realm]
FOOBAR = FOOBAR
.FOOBAR = FOOBAR
[logging]
default = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
kdc = FILE:/var/log/krb5kdc.log
[realms]
FOOBAR = {
admin_server = {admin_server ip}
kdc = {kdc_server ip}
}
此外,请确保将群集中所有计算机的IP地址和主机名添加到/ etc / hosts文件中。