Kerberos是time-sensitive协议，因此域中的所有主机必须时钟同步，比如使用NTP（Network Time Protocol）。

如果本地系统时间与KDC时间相差5分钟（默认），则client就无法进行认证。

安装KDC server

yum install krb5-server krb5-libs krb5-workstation

编辑/etc/krb5.conf ，设置

[libdefaults]
default_realm=KEVIN.COM

[realms]
KEVIN.COM={
  kdc=kdc.kevin.com
  admin_server=kdc.kevin.com
}

[domain_real]
.kevin.com=KEVIN.COM
kevin.com=KEVIN.COM

创建kerberos database

kdb5_util create -s

启动KDC server与KDC admin server

systemctl start krb5kdc
systemctl start kadmin

开机启动KDC server与KDC admin server

systemctl enable krb5kdc
systemctl enable kadmin

创建kerberos Admin

kadmin.local -q "addprinc admin/admin"

编辑/var/kerberos/krb5kdc/kadm5.acl

*/[email protected] *

重启kadmin

systemctl restart kadmin

【参考】

1。ambari：kerberos：https://docs.hortonworks.com/HDPDocuments/HDP2/HDP-2.6.4/bk_security/content/_optional_install_a_new_mit_kdc.html