CDH kerberos 认证,安全认证
- 環境
? ? ? ? ? ?centos 7.4
? ? ? ? ? ?
- 安裝KDC服務
- ?修改配置文件??vi /etc/krb5.conf
默認如下
?修改為
# Configuration snippets may be placed in this directory as well includedir /etc/krb5.conf.d/[logging]default = FILE:/var/log/krb5libs.logkdc = FILE:/var/log/krb5kdc.logadmin_server = FILE:/var/log/kadmind.log[libdefaults]dns_lookup_realm = falseticket_lifetime = 24hrenew_lifetime = 7dforwardable = truerdns = falsepkinit_anchors = /etc/pki/tls/certs/ca-bundle.crtdefault_realm = JAST.COM # default_ccache_name = KEYRING:persistent:%{uid}[realms] JAST.COM = {kdc = hostname1admin_server = hostname1}[domain_realm].jast.com = JAST.COMjast.com = JAST.COM?參數說明
[logging]:表示server端的日志的打印位置
[libdefaults]:每種連接的默認配置,需要注意以下幾個關鍵的小配置
default_realm = HADOOP.COM 默認的realm,必須跟要配置的realm的名稱一致。
udp_preference_limit = 1 禁止使用udp可以防止一個Hadoop中的錯誤
oticket_lifetime表明憑證生效的時限,一般為24小時。
orenew_lifetime表明憑證最長可以被延期的時限,一般為一個禮拜。當憑證過期之后,?
對安全認證的服務的后續訪問則會失敗。
[realms]:列舉使用的realm。
kdc:代表要kdc的位置。
admin_server:代表admin的位置。
default_domain:代表默認的域名
[appdefaults]:可以設定一些針對特定應用的配置,覆蓋默認配置。
- ?修改配置文件?/var/kerberos/krb5kdc/kadm5.acl 配置
原內容為??*/admin@EXAMPLE.COM ?*
修改為上面配置的域名
*/admin@JAST.COM *- 修改配置文件 /var/kerberos/krb5kdc/kdc.conf 配置
默認為
修改為
[kdcdefaults]kdc_ports = 88kdc_tcp_ports = 88[realms]JAST.COM = {#master_key_type = aes256-ctsmax_renewable_life= 7d 0h 0m 0s acl_file = /var/kerberos/krb5kdc/kadm5.acldict_file = /usr/share/dict/wordsadmin_keytab = /var/kerberos/krb5kdc/kadm5.keytabsupported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal}- 創建Kerberos數據庫
需輸入兩遍你的密碼即可
[root@fwqml006 ~]# kdb5_util create -r JAST.COM -s Loading random data Initializing database '/var/kerberos/krb5kdc/principal' for realm 'JAST.COM', master key name 'K/M@JAST.COM' You will be prompted for the database Master Password. It is important that you NOT FORGET this password. Enter KDC database master key: Re-enter KDC database master key to verify:?創建完成再目錄下有幾個創建成功的文件,就是創建的數據文件
- 創建Kerberos的管理賬號
如果使用?kadmin.local -q "addprinc admin/admin@JAST.COM" 啟動的話,可以不需要輸入kadmin.local
- 將Kerberos服務添加到自啟動服務,并啟動krb5kdc和kadmin服務,查看狀態
啟動成功
- ?驗證 kerberos?
- 安裝所有Kerberos客戶端,集群中所有節點
所有節點執行
yum -y install krb5-libs krb5-workstation- 在Cloudera Manager Server服務器上安裝額外的包
- 將KDC Server上的krb5.conf文件拷貝到所有Kerberos客戶端
- (注意:這里如果是自己復制過去,要注意權限問題,權限不夠最終服務會因Kerberos認證不通過而啟動失敗)
CDH集群啟用Kerberos
- 在KDC中給Cloudera Manager添加管理員賬號
- 進入Cloudera Manager 管理頁面啟用 Kerberos
?
- 全部勾選然后點擊繼續?
- 填寫方框中的信息,與上面配置文件中相同
- 不建議讓Cloudera Manager來管理krb5.conf,?點擊“繼續”
- ?.輸入Cloudera Manager的Kerbers管理員賬號,一定得和之前創建的賬號一致,點擊“繼續”
- 繼續
?
- 默認配置即可,點擊繼續
- 選擇重啟集群,使配置生效
- ?這里要多等一會,可以去cm server日志中去查看進度
?啟動集群報錯參考 Socket Reader #1 for port 8022: readAndProcess from client:https://datamining.blog.csdn.net/article/details/98615398
?啟動成功
- 簡單驗證
?查看hdfs數據
?進入hbase shell 查看一下
?使用? kinit 進行授權即可使用, kinit xxx? ?,xxx是你需要登陸的賬號
?
創建賬戶詳細使用參考:https://datamining.blog.csdn.net/article/details/98625330
總結
以上是生活随笔為你收集整理的CDH kerberos 认证,安全认证的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 失败的面试经历
- 下一篇: hdfs fsck命令查看HDFS文件对