kerberos与openldap整合

OpenLDAP安装及配置OpenLDAP安装及配置折腾了好多天总算是折腾出些眉⽬来了，openldap在linux下的安装与⽂件的配置估计令好多⼈都⽐较头疼吧？我就遇到了这样的问题。

下⾯我就⼤致说⼀下openldap的安装过程以及所遇到的⼀些问题的处理办法。

1.安装BerkeleyDB我选⽤的数据库是BerkeleyDB-4.8.26，在安装openldap之前需要把BDB先装好。

安装步骤如下：1）⾸先把下载好的⽂件db-4.8.26.tar解压，⽣成⽂件夹db-4.8.26，# cd db-4.8.26/build_unix# ../dist/configure# make# make install这个过程⼀般没什么问题，默认安装到了/usr/local下，⽬录名，BerkeleyDB.4.8,2) 接下来应该把BerkeleyDB.4.8下include和lib⽂件夹下的⽂件都考到usr⽂件夹下相应的include和lib⽂件下。

也可以通过以下命令来实现#cp /usr/local/ BerkeleyDB.4.8/include/* /usr/include#cp /usr/local/ BerkeleyDB.4.8/lib/* /usr/lib注意：*后边要有空格，这是cp命令的格式2.安装openldap同样，先解压，我⽤的是openldap-2.4.13，安装步骤如下#cd openldap-2.4.13#env CPPFLAGS=”-I/usr/local/ BerkeleyDB.4.8/include” LDFLAGS=”-L/usr/local/ BerkeleyDB.4.8/lib”./configure --prefix=/usr/local/openldap出现Making servers/slapd/backends.cAdd config…Add ldif…Add monitor…Add bdb…Add hdb…Add relay…Make servers/slapd/overlays/statover.cAdd syncprov…Please run “make depend” to build dependencies就可以进⾏下⼀步了，# make depend#make#make test# make install这样openldap就基本上安装完成了，但在这⼀步容易出现⼀些问题。

一种单jvm进程中同时支持多个kerberos认证的方法与流程如何在单个JVM进程中同时支持多个Kerberos认证Kerberos是一种网络身份验证协议，可用于在计算机网络中进行强大的身份验证。

当涉及到在单个JVM进程中同时支持多个Kerberos认证时，有一些特定的步骤和流程需要遵循。

在本文中，我们将一步一步回答如何实现这个需求。

步骤1：理解Kerberos认证的基本原理在开始之前，我们需要对Kerberos认证的基本原理有一定的了解。

Kerberos使用对称密钥加密和票据传递来验证用户和服务之间的身份。

它依赖于KDC（Key Distribution Center）服务器来分发凭证和密钥。

Kerberos身份验证包括以下步骤：1. 用户发送用户名和密码到KDC。

2. KDC验证用户的身份并生成一个票据（Ticket）。

3. 用户使用票据向服务请求访问。

4. 服务使用服务密钥解密并验证票据。

5. 如果票据有效，则服务授予用户访问权限。

步骤2：准备环境和配置KDC在单个JVM进程中同时支持多个Kerberos认证之前，我们需要设置KDC 服务器和相关配置。

KDC是负责管理用户和服务的密钥分发的服务器。

1. 安装KDC服务器：选择一个合适的KDC服务器，例如MIT Kerberos 或Microsoft Active Directory。

2. 配置KDC：根据您的环境和需求，配置KDC服务器和相关认证参数，包括Realm（领域）、Principal（主体）和Keytabs（密钥文件）等。

步骤3：配置JVM以支持多个Kerberos认证现在，我们可以开始配置JVM以支持多个Kerberos认证。

1. 创建不同的JAAS（Java Authentication and Authorization Service）配置文件：JAAS是Java的身份验证和授权框架，用于配置各种身份验证模块和策略。

针对每个Kerberos认证，我们需要创建一个独立的JAAS 配置文件。

编译并安装OpenLDAP本节讨论Senior Level Linux Professional（LPIC-3）考试301 的302.1 主题的内容。

这个主题的权值为3。

在本节中，学习如何：∙从源代码编译和配置OpenLDAP∙理解OpenLDAP 后端数据库∙管理OpenLDAP 守护进程∙排除安装期间的错误OpenLDAP 是一个实现LDAP 服务器和相关工具的开放源码应用程序。

因为它是开放源码的，所以可以免费下载它的源代码。

OpenLDAP 项目并不直接发布二进制代码，但是大多数主流的发行版都打包了二进制代码。

在本教程中，学习如何从源代码和软件包安装OpenLDAP。

从源代码编译第一步是从项目站点下载OpenLDAP 的最新版本（见参考资料中的下载链接）。

这个项目通常有两个当前版本：一个是稳定版本，另一个是测试版本。

本教程使用稳定版2.3.30 和2.3.38。

如果按照本教程进行操作，一些目录名可能会随版本而变化。

为了从下载的文件中提取源代码，输入tar -xzf openldap-stable-20070831.tgz。

这会将下载的文件解压到一个目录中。

用cd openldap-2.3.38命令进入这个新目录（根据需要替换您的OpenLDAP 版本号）。

现在的位置在源代码目录中。

现在必须配置系统的构建环境，然后构建这个软件。

OpenLDAP 使用脚本configure执行这些操作。

输入./configure --help就可以看到可用的所有选项。

一些选项定义安装文件的位置（比如--prefix）：其他选项定义希望安装的OpenLDAP 特性。

清单1 列出特性及其默认设置。

清单 1. 与OpenLDAP 特性相关的配置选项SLAPD (Standalone LDAP Daemon) Options:--enable-slapd enable building slapd [yes]--enable-aci enable per-object ACIs (experimental) [no]--enable-cleartext enable cleartext passwords [yes]--enable-crypt enable crypt(3) passwords [no]--enable-lmpasswd enable LAN Manager passwords [no]--enable-spasswd enable (Cyrus) SASL password verification [no]--enable-modules enable dynamic module support [no]--enable-rewrite enable DN rewriting in back-ldap and rwm overlay[auto]--enable-rlookups enable reverse lookups of client hostnames [no]--enable-slapi enable SLAPI support (experimental) [no]--enable-slp enable SLPv2 support [no]--enable-wrappers enable tcp wrapper support [no]SLAPD Backend Options:--enable-backends enable all available backends no|yes|mod--enable-bdb enable Berkeley DB backend no|yes|mod [yes]--enable-dnssrv enable dnssrv backend no|yes|mod [no]--enable-hdb enable Hierarchical DB backend no|yes|mod [yes]--enable-ldap enable ldap backend no|yes|mod [no]--enable-ldbm enable ldbm backend no|yes|mod [no]--enable-ldbm-api use LDBM API auto|berkeley|bcompat|mdbm|gdbm [auto]--enable-ldbm-type use LDBM type auto|btree|hash [auto]--enable-meta enable metadirectory backend no|yes|mod [no]--enable-monitor enable monitor backend no|yes|mod [yes]--enable-null enable null backend no|yes|mod [no]--enable-passwd enable passwd backend no|yes|mod [no]--enable-perl enable perl backend no|yes|mod [no]--enable-relay enable relay backend no|yes|mod [yes]--enable-shell enable shell backend no|yes|mod [no]--enable-sql enable sql backend no|yes|mod [no]SLAPD Overlay Options:--enable-overlays enable all available overlays no|yes|mod--enable-accesslog In-Directory Access Logging overlay no|yes|mod [no] --enable-auditlog Audit Logging overlay no|yes|mod [no]--enable-denyop Deny Operation overlay no|yes|mod [no]--enable-dyngroup Dynamic Group overlay no|yes|mod [no]--enable-dynlist Dynamic List overlay no|yes|mod [no]--enable-lastmod Last Modification overlay no|yes|mod [no]--enable-ppolicy Password Policy overlay no|yes|mod [no]--enable-proxycache Proxy Cache overlay no|yes|mod [no]--enable-refint Referential Integrity overlay no|yes|mod [no]--enable-retcode Return Code testing overlay no|yes|mod [no]--enable-rwm Rewrite/Remap overlay no|yes|mod [no]--enable-syncprov Syncrepl Provider overlay no|yes|mod [yes]--enable-translucent Translucent Proxy overlay no|yes|mod [no]--enable-unique Attribute Uniqueness overlay no|yes|mod [no]--enable-valsort Value Sorting overlay no|yes|mod [no]SLURPD (Replication Daemon) Options:--enable-slurpd enable building slurpd [auto]Optional Packages:--with-PACKAGE[=ARG] use PACKAGE [ARG=yes]--without-PACKAGE do not use PACKAGE (same as --with-PACKAGE=no)--with-subdir=DIR change default subdirectory used for installs--with-cyrus-sasl with Cyrus SASL support [auto]在清单1 中，可以看到许多特性在默认情况下是禁用的，比如元目录和模块。

大数据平台－ｋerｂｅrｏs安装部署文档————————————————————————————————作者: ————————————————————————————————日期:ﻩ1.环境准备1.1.操作系统本次安装部署要求在操作系统为ＣeｎtOS release 6.5（Fiｎal）的版本下进行部署，所以在安装部署ｋerｂeroｓ之前请先确保操作系统为以上版本,并且集群中各机器已做时钟同步。

本次安装部署以csdm-hadｏoｐ-０4作为主kｄc服务器,以ｃsdm-hadoop-0５作为从kdc服务器，以csｄm-hadoｏp-０3作为客户端。

一般不建议在服务器上再安装其他应用程序，比如hａdoop。

但为了节省资源本次安装在这三台机器均已安装hadoop相关软件。

1.2.创建操作用户创建操作系统hdfs、yarn、mａpred用户，并使其归属于ｈadoｏp用户组: adduｓeｒｈdfs -gＨａdoopadｄｕseｒyarn －g Hａdoｏpadduｓer mａpｒeｄ-ｇＨaｄoop1.3.配置hosts文件为各台机器修改/etｃ/ｈoｓts文件，将真实iｐ与主机名对应配置，服务端与客户端均需配置，形如：(不能存在12７.0．０.1的配置，否则ｈadｏop进行ｋｅrbｅros验证时将会出错)1.4.关闭防火墙执行以下命令关闭防火墙：sｅrｖice ipｔaｂlｅs stop出现以下界面表示关闭成功1.5.注册服务与端口的对应在/etc/seｒviｃe文件最后增加以下信息,以便后续使用：ﻩkｒb5_ｐｒoｐ75４/tｃp # Kerbeｒoｓ slave prｏｐagaｔion2.安装配置Kerｂeros2.1.安装rｐm包➢以rｏot用户登录并创建目录存放安装包：mkｄir /ｖar/keｒberos➢上传安装包文件到创建的目录，包括kｒb５－ｌibs-1.10．３-10.ｅl６_4．6．ｘ86_６4.rpｍ、krb５－servｅｒ-1.10.3－10.el6＿4．6.x86＿6４.rpｍ(客户端可不安装)、ｋrb5-wｏｒkstatｉｏn-1.1０．3-１0．el６_4.６.ｘ８6_64.ｒpm➢执行安装命令:ｒpm -ivh krb5-libs-1.１0.3－10.el６＿4.６．x8６_64.rｐmrpm -ivh krｂ5－sｅｒｖer－1.10．３-10.el６_4.6.ｘ86_6４.rpm【客户端可不安装】ﻫrpm -ivh krb5-ｗorkｓtatiｏｎ-１.10.３－10.ｅl6＿4．6.x8６_64.rpｍ➢查看上述包是否已安装成功：rpm –qa krb５*若出现以下情况则代表安装成功。

导读LDAP（轻量级目录访问协议，Lightweight Directory Access Protocol)是实现提供被称为目录服务的信息服务。

目录服务是一种特殊的数据库系统，其专门针对读取，浏览和搜索操作进行了特定的优化。

目录一般用来包含描述性的，基于属性的信息并支持精细复杂的过滤能力。

目录一般不支持通用数据库针对大量更新操作操作需要的复杂的事务管理或回卷策略。

而目录服务的更新则一般都非常简单。

这种目录可以存储包括个人信息、web链结、jpeg图像等各种信息。

为了访问存储在目录中的信息，就需要使用运行在TCP/IP 之上的访问协议—LDAP。

LDAP目录中的信息是是按照树型结构组织，具体信息存储在条目(entry)的数据结构中。

常见的例子是通讯簿，由以字母顺序排列的名字、地址和电话号码组成。

目录服务与关系数据库之间的主要区别在于：二者都允许对存储数据进行访问，只是目录主要用于读取，其查询的效率很高，而关系数据库则是为读写而设计的。

也就是目录服务不适于进行频繁的更新，属于典型的分布式结构。

总结：对于查询操作多于更新操作的（认证）系统来说，使用OpenLDAP是一个比关系数据库如MySq、PostgreSQL等更好的选择。

LDAP的功能在LDAP的功能模型中定义了一系列利用LDAP协议的操作，主要包含以下4部分：查询操作：允许查询目录和取得数据，其查询性能比关系数据库好。

更新操作：目录的更新操作没关系数据库方便，更新性能较差，但也同样允许进行添加、删除、修改等操作。

复制操作：前面也提到过，LDAP是一种典型的分布式结构，提供复制操作，可将主服务器的数据的更新复制到设置的从服务器中。

认证和管理操作：允许客户端在目录中识别自己，并且能够控制一个会话的性质。

而本文所要将的OpenLDAP就是一个优秀的开源的LDAP实现。

OpenLDAP安装配置及疑惑解答1. 安装和配置OpenLDAP安装软件非常简单，但在配置过程中遇到了不少坎坷，不是服务启动不成功就是验证不成功。

3. 所有机器设置为镜像模式。

MirrorMode=True进一步分析看来N-Way Master模式具有比MirrorMode更多的配置项，从一定意义上来讲，MirrorMode是N-Way Master的一个特例。

由此引起我对N-Way Master Mode的极大兴趣，是否有更灵活的其他用发可以发掘呢？我将目光注意到了一个MirrorMode的配置项上，如没有这个项目，则MirrorMode的配置即变为普通syncreplica，如有，则标志为对等的镜像模式。

这个开关是否是控制服务器在集群里的读写模式的关键呢？如果这个开关灵活运用，是否可以在服务器之间形成单向＋对等的复杂关系呢？后来通过查看openldap的源代码，确定了这个开关的确是控制服务器读写模式的重点。

结果我们可以在N-Way Master配置中引入不对等的配置，假设我们有4台服务器分别命名为ldap1 ldap2 ldap3 ldap4已经配置为N-Way Master模式。

我们将ldap2 ldap3 ldap4的MirrorMode关闭，同时把syncrepl的配置只保留ldap1为源，将会形成什么结果？结果就是，我们做了一个很有意思的主从结构，从N-Way Master的模式，转换到了Master-Slave配置，这个配置的好处是什么呢？此种模式下，主从服务器的配置文件差异只有一个小参数：MirrorMode=True/False，而其他所有配置完全相同。

如此以来我们将会有比较大的机会来做配置文件数据库cn=config的全部同步，并且有机会保持此种差异而不引起整个架构的变化。

我们可以灵活使用一个syncrepl的配置中的一个很有意思的限制，将可以把这个MirrorMode排除在数据库同步的内容之外：exattrs="olcMirrorMode"。

则我们将上面的例子改变为rid=002 provider=ldap://:389 binddn="cn=config"bindmethod=simple credentials=secret searchbase="cn=config"exattrs="olcMirrorMode" type=refreshAndPersist而且如果我们的slave服务器上使用这个syncrepl配置，将不会把master端的MirrorMode参数同步过来。