Kerberos（KDC） 幾個重要的概念：

• Principal：任何服務器所提供的用戶、計算機、服務都將被定義成Principal。本例使用user@EXAMPLE.COM
• Instances：用于服務principals和特殊管理Principal。
• Realms：Kerberos安裝提供的獨特的域的控制，把它想象成你的主機和用戶所屬的主機或者組。官方約定這域需要大寫。默認的，Ubuntu將把DNS域名轉換為大寫當成這里的域。 本例使用EXAMPLE.COM
• Key Distribution Center: （KDC）由三部分組成，一是principal數(shù)據(jù)庫，認證服務器，和票據(jù)授予服務器。每個Realm至少要有一個。
• Ticket Granting Ticket：由認證服務器（AS）簽發(fā)，Ticket Granting Ticket (TGT)使用用戶的密碼加密，這個密碼只有用戶和KDC知道。
• Ticket Granting Server: (TGS) 根據(jù)請求簽發(fā)服務的票據(jù)。
• Tickets：確認兩個Principal的身份。一個主體是用戶，另一個是由用戶請求的服務。門票會建立一個加密密鑰，用于在身份驗證會話中的安全通信。
• Keytab Files：從KDC主數(shù)據(jù)庫中提取的文件，并且包含的服務或主機的加密密鑰。

Kerberos 用戶和服務認證的流程

精品電影網(wǎng)：手機電影迅雷下載，手機在線電影，手機高清電影，手機迅雷觀看，電影天堂

1,客戶端（像MongoDB java 驅動程序）向KDC服務器發(fā)送一個principal。
2,服務器在自己的數(shù)據(jù)庫中查找到這個用戶并用這個用戶的秘鑰（注意不是秘密）和當前時間戳加密生成一個TGT返回給客戶端。
3,客戶端用這個TGT打包要連接的服務名和服務相關信息再發(fā)送給KDC。
4,KDC驗證這個新TGT包并用服務的秘鑰和新的時間戳加密一個新的TGT返回給客戶端。
5,客戶端拿到新的TGT發(fā)送給服務service（本例中的MongoDB）
6,服務service（MongoDB用自己的私鑰進行解密TGT并驗證），如果驗證成功則返回給客戶端想要的數(shù)據(jù)。

安裝Kerberos (KDC) 服務

sudo apt install krb5-kdc krb5-admin-server
sudo krb5_newrealm
所有的配置都在/etc/krb5.conf中，可以更改這個文件后運行下面的命令
sudo dpkg-reconfigure krb5-kdc

增加一個管理員用戶principle

sudo kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local: addprinc user

然后輸入這個用戶的密碼，這個用戶就加到kerberos中了。
在 /etc/krb5kdc/kadm5.acl 中增加這個管理員用戶： user@EXAMPLE.COM 

然后重啟kerberos:
 sudo service krb5-admin-server restart

測試用這個用戶連接下看是否成功：
kinit  user@EXAMPLE.COM 

增加一個kerberos權限的mongo用戶principal 和 mongodb服務principal

在kerberos服務器機器上運行：
kadmin.local

- 增加用戶并設置密碼
addprinc user1@EXAMPLE.COM
listprincs

- 增加mongdb服務并設置密碼
 addprinc mongodb/www.jpmovie.cn@EXAMPLE.COM
 addprinc mongod/www.jpmovie.cn@EXAMPLE.COM
 addprinc mongos/www.jpmovie.cn@EXAMPLE.COM
 addprinc mongo/www.jpmovie.cn@EXAMPLE.COM

導出keytab文件到指定目錄
ktadd -k /home/jpmovie/user1.keytab -norandkey user1@EXAMPLE.COM
ktadd -k /home/jpmovie/mongodb.keytab -norandkey mongodb/www.jpmovie.cn@EXAMPLE.COM
ktadd -k /home/jpmovie/mongod.keytab -norandkey mongod/www.jpmovie.cn@EXAMPLE.COM
ktadd -k /home/jpmovie/mongos.keytab -norandkey mongos/www.jpmovie.cn@EXAMPLE.COM
ktadd -k /home/jpmovie/mongo.keytab -norandkey mongo/www.jpmovie.cn@EXAMPLE.COM

在MongoDB 的external數(shù)據(jù)庫中增加Kerberos用戶user1

免費天貓?zhí)詢?yōu)惠券領取：http://q.jpmovie.cn

在Mongodb 的機器上運行命令 ： mongod
mongo

use $external
 db.getSiblingDB("$external").createUser(
   {
     user: "user1/@EXAMPLE.COM",
     roles: [ { role: "readWrite", db: "kundatabase" } ]
   }
)

在MongoDB的機器上安裝Kerberos client端

sudo apt-get install krb5-user libpam-krb5 libpam-ccreds auth-client-config libsasl2-modules-gssapi-mit
sudo dpkg-reconfigure krb5-config
- 輸入對應的realm 和 KDC server的host名字

以kerberos認證的方式啟動MongoDB服務

- 將KDC 服務器生成的mongodb.keytab 文件復制到MongoDB服務器中

- export KRB5_KTNAME=/home/hekun/KerberosData/kb5keytab/mongodb.keytab
測試從Mongodb 的服務器能不能通過kerberos連到KDC 的服務器：

kinit user1@EXAMPLE.COM
如果成功可以用 klist 來查看 TGT情況

啟動MongoDB
 mongod --auth --setParameter authenticationMechanisms=GSSAPI

測試連接
- kinit user1@EXAMPLE.COM
- mongo --host mongohost.com --authenticationMechanism=GSSAPI --authenticationDatabase='$external' --username user1@EXAMPLE.COM
- use kundatabase
- show collections

JAVA通過Kerberos 連接MongoDB

實際上有三種方式通過Kerberos認證連接MongoDB

• Username and password
• Key Tab files
• kinit (或者說是local cache).

具體JAVA實現(xiàn)代碼：

• 1，創(chuàng)建JAVA JAAS configuration

    import java.security.Security;
    import java.util.HashMap;
    import java.util.Map;

    import javax.security.auth.login.AppConfigurationEntry;
    import javax.security.auth.login.AppConfigurationEntry.LoginModuleControlFlag;
    import javax.security.auth.login.Configuration;
    import com.sun.security.auth.module.*;
    
    public class KrbConfig extends Configuration{

        private AppConfigurationEntry[] entry = new AppConfigurationEntry[1];
        
        Map paramMap = new HashMap();
        
        private AppConfigurationEntry krb5LoginModule = new AppConfigurationEntry("com.sun.security.auth.module.Krb5LoginModule", LoginModuleControlFlag.REQUIRED, paramMap);
        @Override
        public AppConfigurationEntry[] getAppConfigurationEntry(String name) {
            if(entry[0] == null){
//                paramMap.put("debug", "true");
//                //1.enter the username and passsword 
//                paramMap.put("storeKey", "true");
//                paramMap.put("doNotPrompt", "true");
//                paramMap.put("useSubjectCredsOnly", "false");
//
//                //2.use keytab file
//                paramMap.put("doNotPrompt", "false");
//                paramMap.put("useKeyTab", "true");
//                paramMap.put("keyTab", "C:\\dataprovideagent\\krb5\\user.keytab");
//                paramMap.put("principal", "user@EXAMPLE.COM");
//                
//                paramMap.put("useTicketCache", "true");
//                paramMap.put("ticketCache", "C:\\Users\\i322353\\krb5cc_I322353");
//                paramMap.put("useFirstPass", "true");
//                paramMap.put("tryFirstPass", "true");
//
//                paramMap.put("renewTGT", "true"); 
//                paramMap.put("refreshKrb5Config", "true");
//                String ticketCache = System.getenv("KRB5CCNAME");
//                System.out.println("%%%%%%%%%%%%%% "+ticketCache );
//                
//                if (ticketCache != null) { 
//                    paramMap.put("ticketCache", ticketCache); 
//                  } 
//
                
                Security.setProperty("javax.security.auth.login.name", "user");
                Security.setProperty("javax.security.auth.login.password", "123456");
                System.setProperty("javax.security.auth.login.name", "user");
                System.setProperty("javax.security.auth.login.password", "123456");
                
                paramMap.put("debug", "true");
                //1.enter the username and passsword 
               // paramMap.put("storeKey", "false");
                //paramMap.put("doNotPrompt", "true");
                //paramMap.put("useSubjectCredsOnly", "true");

                //2.use keytab file
                paramMap.put("useKeyTab", "true");
                paramMap.put("keyTab", "C:\\dataprovideagent\\krb5\\user.keytab");
                paramMap.put("principal", "user@EXAMPLE.COM");
                
                paramMap.put("useTicketCache", "false");
                //paramMap.put("ticketCache", "C:\\Users\\i322353\\krb5cc_I322353");
                paramMap.put("useFirstPass", "false");
                paramMap.put("tryFirstPass", "false");

                paramMap.put("renewTGT", "false"); 
               // paramMap.put("refreshKrb5Config", "true");
                entry[0] = krb5LoginModule;

            }
            return entry;
        }

}

• 2，創(chuàng)建main類，然后創(chuàng)建mongoclient端連接數(shù)據(jù)庫

注意，這里是先登錄kdc，然后再寫一個action連接mongodb

package com.user.mongodb.main;

import java.io.File;
import java.security.PrivilegedActionException;
import java.security.PrivilegedExceptionAction;
import java.security.Security;
import java.util.Arrays;


import javax.security.auth.Subject;

import javax.security.auth.login.LoginContext;
import javax.security.auth.login.LoginException;

import com.mongodb.MongoClient;
import com.mongodb.MongoCredential;
import com.mongodb.ServerAddress;
import com.mongodb.client.MongoCursor;
import com.mongodb.client.MongoDatabase;
import com.mongodb.client.MongoIterable;
import com.user.mongodb.util.Krb5Configuration;
import com.user.mongodb.util.KrbConfig;


public class mongodbKerberos
{

    static String user = "mongouser";
    static char[] password = "mongouser".toCharArray();
    static String database = "kundatabase";
    public static void main(String[] args)
    {
        
      MongoClient client =createKubrosConnection();
        //testKerb5();
    }
    
        
    public static MongoClient createKubrosConnection(){
        String loginModuleName = "KerberosLogin";
        Subject subject = new Subject();
        KrbConfig conf = new KrbConfig();
        try {
            String sep = File.separator;
            System.out.println("KerberosClient.main():"
                    + System.getProperty("java.home") + sep + "lib" + sep
                    + "security" + sep + "java.security");
            LoginContext context = new LoginContext("myKerberosLogin", subject,
                    null, conf);
            context.login();
            System.out.println(" %%%%%%%%%%%%%%%% "+ context.getSubject().getPrincipals());
            Subject subject2 =   context.getSubject();
            
            MongoCredential credential = MongoCredential
                    .createGSSAPICredential("user@EXAMPLE.COM");
//            PrivilegedExceptionAction<MongoClient> action1  = ()->new MongoClient(new ServerAddress("mo-51e071c98.mo.sap.corp", 27017),
//                    Arrays.asList(credential));
            PrivilegedExceptionAction<MongoClient> action1  = new PrivilegedExceptionAction<MongoClient>() {

                @Override
                public MongoClient run() throws Exception
                {
                    // TODO Auto-generated method stub
                    MongoClient result = new MongoClient(new ServerAddress("mongohost.com.corp", 27017),
                            Arrays.asList(credential));
                    MongoDatabase ssfdfd = result.getDatabase("kundatabase");
                    MongoIterable<String> aadaa = ssfdfd.listCollectionNames();
                    MongoCursor<String> itdd = aadaa.iterator();
//                    while(itdd.hasNext()){
//                        String next = itdd.next();
//                        System.out.println(next+" ********************** ");
//                    }
                    return result;
                }
                
            };
            //精品電影網(wǎng)：http://www.jpmovie.cn
            //免費內部優(yōu)惠券領?。篽ttp://q.jpmovie.cn
           //免費開源工具代碼：http://blog.jpmovie.cn
            //PrivilegedExceptionAction<MongoDatabase> action = ()->mongoClient.getDatabase("kundatabase");
            MongoClient result = Subject.doAs(subject2, action1);
            MongoDatabase ssfdfd = result.getDatabase("kundatabase");
            MongoIterable<String> aadaa = ssfdfd.listCollectionNames();
            MongoCursor<String> itdd = aadaa.iterator();
            while(itdd.hasNext()){
                String next = itdd.next();
                System.out.println(next+" 222********************** ");
            }
        } catch (LoginException | PrivilegedActionException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }
        
//          System.setProperty("java.security.krb5.realm", "EXAMPLE.COM");
//          System.setProperty("java.security.krb5.kdc", "mo-6851b47ac.mo.sap.corp");
//          
//          System.setProperty("javax.security.auth.login.name", "user");
//          System.setProperty("javax.security.auth.login.password", "123456");
//          Security.setProperty("javax.security.auth.login.name", "user");
//          Security.setProperty("javax.security.auth.login.password", "123456");
          
//        MongoCredential credential = MongoCredential
//                .createGSSAPICredential("user@EXAMPLE.COM");
//        MongoClient  mongoClient = new MongoClient(new ServerAddress("mo-51e071c98.mo.sap.corp", 27017),
//                Arrays.asList(credential));
//        
//        MongoDatabase ssfdfd = mongoClient.getDatabase("kundatabase");
//        MongoIterable<String> aadaa = ssfdfd.listCollectionNames();
//        MongoCursor<String> itdd = aadaa.iterator();
//        while(itdd.hasNext()){
//            String next = itdd.next();
//           // System.out.println(next);
//        }
        return   null;
        
        
//        MongoClientConfiguration config = new MongoClientConfiguration("mongodb://locahost:27017/");
//        MongoCredential = 
//        config.addCredential(Credential.builder()
//                      .userName("user@EXAMPLE.COM")
//                      .password("123456".toCharArray())
//                      .kerberos());
        
    }
    
    public static void testKerb5(){
        
        System.setProperty("java.security.krb5.realm", "EXAMPLE.COM");
        System.setProperty("java.security.krb5.kdc", "mongohost.com.corp");
        System.setProperty("javax.security.auth.useSubjectCredsOnly", "false");
        
        System.setProperty(Krb5Configuration.KRB_DO_NOT_PROMPT, "true");// use true as default
        System.setProperty(Krb5Configuration.KRB_PRINC, "user@EXAMPLE.COM");
        //http://www.jpmovie.cn
        // TBD Keytab type
        System.setProperty(Krb5Configuration.KRB_USE_KEY_TAB, "true");
        System.setProperty(Krb5Configuration.KRB_KEYTAB, "C:\\dataprovideagent\\krb5\\user.keytab");
        
        File file = new File("C:\\dataprovideagent\\krb5\\user.keytab");
        System.out.println(file.getAbsolutePath());
        
        Security.setProperty("login.configuration.provider", "com.user.mongodb.util.Krb5Configuration");
        
        MongoCredential credential = MongoCredential.createGSSAPICredential("user@EXAMPLE.COM");
        
        MongoClient  mongoClient = new MongoClient(new ServerAddress("mo-51e071c98.mo.sap.corp", 27017),
                Arrays.asList(credential));
        
        MongoDatabase ssfdfd = mongoClient.getDatabase("kundatabase");
        MongoIterable<String> aadaa = ssfdfd.listCollectionNames();
        MongoCursor<String> itdd = aadaa.iterator();
        while(itdd.hasNext()){
            String next = itdd.next();
            System.out.println(next);
        }
    }
    
    private static void testMongoClient(MongoClient mongoClient)
    {
        try
        {
            MongoIterable<String> databases = mongoClient.listDatabaseNames();
            if (null == databases || databases.first() == null)
            {
                System.out.println(
                        "Can not connect to MongoDB ,please check the remote source properties");
            }
        }
        catch (Exception e)
        {
            System.out.println(
                    "Can not connect to MongoDB : " + e.getMessage());
        }
    }

}

納米蟲分布式網(wǎng)頁爬蟲：http://nanoworm.jpmovie.cn