ldap认证_ldap服务器怎么登录_ldap认证和802.1x区别(3)

/etc/krb5.conf:包含Kerberos的配置信息。例如，KDC的位置，Kerberos的admin的realms 等。需要所有使用的Kerberos的机器上的配置文件都同步。这里仅列举需要的基本配置。详细介绍参考：krb5conf：~kerberos/krb5-devel/doc/admin/conf_files/krb5_conf.html

配置示例：
[logging]
default=FILE:/var/log/krb5libs.log
kdc=FILE:/var/log/krb5kdc.log
admin_server=FILE:/var/log/kadmind.log
[libdefaults]
default_realm=QUNYING.LIU
dns_lookup_realm=false
dns_lookup_kdc=false
ticket_lifetime=24h
renew_lifetime=7d
max_life=12h0m0s
forwardable=true
udp_preference_limit=1
[realms]
QUNYING.LIU={
kdc=server1:88
admin_server=server1:749
default_domain=DIANPING.COM
}
[appdefaults]
说明：
[logging]：表示server端的日志的打印位置
[libdefaults]：每种连接的默认配置，需要注意以下几个关键的小配置
default_realm=QUNYING.LIU默认的realm，必须跟要配置的realm的名称一致。
udp_preference_limit=1禁止使用udp可以防止一个Hadoop中的错误
[realms]:列举使用的realm。
kdc：代表要kdc的位置。格式是机器:端口
admin_server:代表admin的位置。格式是机器:端口
default_domain：代表默认的域名
[appdefaults]:可以设定一些针对特定应用的配置，覆盖默认配置。
初始化并启动：完成上面两个配置文件后，就可以进行初始化并启动了。

A.初始化:在server1上运行命令。其中-r指定对应realm。

kdb5_utilcreate-rQUNYING>LIU-s
如果遇到已经存在的提示，可以把/var/kerberos/krb5kdc/目录下的principal的相关文件都删除掉。默认的名字都是principal。可以使用-d指定名字。(尚未测试多的情况)。

B.启动kerberos。如果想开机自启动，需要stash文件。

/usr/local/sbin/krb5kdc
/usr/local/sbin/kadmind

至此kerberos，搭建完毕。

测试kerberos，搭建完毕后，进行以下步骤测试Kerberos是否可用。

A. 进入kadmin在kadmin上添加一个超级管理员账户，需要输入passwd

kadmin.local
addprincadmin/admin

B. 在其它机器尝试通过kadmin连接,需要输入密码

kinitadmin/admin
kadmin

如果能成功进入，则搭建成功。ldap认证

kerberos日常操作

管理员操作

登录到管理员账户: 如果在本机上，可以通过kadmin.local直接登录。其它机器的，先使用kinit进行验证。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-24622-3.html