Kerberos(1.9)Apache Hadoop(1.0.4)配置

最新推荐文章于 2020-11-13 20:06:09 发布
最新推荐文章于 2020-11-13 20:06:09 发布
阅读量3.9k 收藏
点赞数
分类专栏: 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nachuang/article/details/8690007
版权

主机: mcw-cc-nachuang

节点: mcw-cc-node

用户名都为 nachuang

环境:ubuntu 12.04, jdk 1.7

注:确定 Hadoop 1.0.4 集群可以正常使用,然后stop-all。

安装配置 Kerberos 1.9

下载网址: http://web.mit.edu/kerberos/

tar -xvf krb5-1.9.signed.tar 
生成krb5-1.9.tar.gz 和krb5-1.9.tar.gz.asc 
解压tar zxvf krb5-1.9.tar.gz 

cd krb5-1.9/src   

./configure 

make 

make install

需要添加并配置三个文件:

/etc/krb5.conf:

[logging]
default = FILE:/usr/local/var/log/krb5libs.log
kdc = FILE:/usr/local/var/log/krb5kdc.log
admin_server = FILE:/usr/local/var/log/kadmind.log
[libdefaults]
default_realm = hdfs.server
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
[realms]
hdfs.server = {
  kdc = mcw-cc-nachuang:88
  admin_server = mcw-cc-nachuang:749
}
[domain_realm]
.hdfs.server = mcw-cc-nachuang
hdfs.server = mcw-cc-nachuang
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
[kdc]
profile=/usr/local/var/krb5kdc/kdc.conf

(mcw-cc-nachuang是主机域名,hdfs.server是数据库名也是Kerberos的域名)

/usr/local/var/krb5kdc/kdc.conf:

[kdcdefaults]
  kdc_ports = 749,88
  kdc_tcp_ports = 88
  [realms]
  hdfs.server = {
  master_key_type = aes256-cts
  max_life = 25h
  max_renewable_life = 4w
  acl_file = /usr/local/var/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /usr/local/var/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
}

(这里添加了aes加密,也可以不加,看官网,kdc.conf的路径和krb5.conf中的配置对应)

/usr/local/var/krb5kdc/kadm5.acl:

*/admin@hdfs.server  *   (配置操作权限)

主机操作:    sudo kadmin.local

配置完后,创建数据库: kdb5_util create -r hdfs.server -s

创建root用户:                  kadmin.local: addprinc root/admin@hdfs.server

创建管理员:                     kadmin.local:  addprinc admin/admin@hdfs.server

生成admin的keytab:      kadmin.local:  ktadd -k /usr/local/var/krb5kdc/kadm5.keytab kadmin/admin kadmin/changepw

添加管理员:                     kadmin.local: addprinc nachuang(ubuntu的用户名)/admin@hdfs.server

启动krb5kdc和kadmind:  sudo krb5kdc; sudo kadmind

客户端操作:  kadmin

复制刚刚在主机配置好的文件到客户端,用nachuang用户启动kadmin。


在客户机上登录kdc 服务器 新建本机用户的keytab:

kadmin: addprinc -randkey host/域名                          // 生产本机的host 随机key 用于https请求

kadmin: addprinc -randkey hadoop/本机域名            // 生产本机的hadoop 随机key 用户启动datanode

kadmin: ktadd -k 本地路径/nachuang.keytab nachuang/mcw-cc-nachuang host/mcw-cc-nachuang nachuang/mcw-cc-node host/mcw-cc-node

Hadoop 配置

加入以下配置:
core-site.xml 
<property>
  <name>hadoop.security.authorization</name>
  <value>true</value>
</property>

<property>
  <name>hadoop.security.authentication</name>
  <value>kerberos</value>
</property>
hdfs-size.xml 
<property>
  <name>dfs.https.address</name>
  <value>mcw-cc-nachuang:50470</value>
</property>
<property>
  <name>dfs.https.port</name>
  <value>50470</value>
</property>
<property>
  <name>dfs.block.access.token.enable</name>
  <value>true</value>
</property>
<property>
  <name>dfs.namenode.keytab.file</name>
  <value>/home/nachuang/Workspace/Hadoop/hadoop-1.0.4/conf/nachuang.keytab</value>
</property>
<property>
  <name>dfs.namenode.kerberos.principal</name>
  <value>nachuang/_HOST@hdfs.server</value>
</property>
<property>
  <name>dfs.namenode.kerberos.https.principal</name>
  <value>host/_HOST@hdfs.server</value>
</property>
<property>
  <name>dfs.secondary.http.address</name>
  <value>mcw-cc-nachuang:50090</value>
</property>
<property>
  <name>dfs.secondary.https.address</name>
  <value>0.0.0.0:50495</value>
</property>
<property>
  <name>dfs.secondary.https.port</name>
  <value>50495</value>
</property>
<property>
  <name>dfs.secondary.namenode.keytab.file</name>
  <value>/home/nachuang/Workspace/Hadoop/hadoop-1.0.4/conf/nachuang.keytab</value> 
</property>
<property>
  <name>dfs.secondary.namenode.kerberos.principal</name>
  <value>nachuang/_HOST@hdfs.server</value>
</property>
<property>
  <name>dfs.secondary.namenode.kerberos.https.principal</name>
  <value>host/_HOST@hdfs.server</value>
</property>
<property>
  <name>dfs.datanode.data.dir.perm</name>
  <value>700</value>
</property>
<property>
  <name>dfs.datanode.address</name>
  <value>0.0.0.0:1004</value>
</property>
<property>
  <name>dfs.datanode.http.address</name>
  <value>0.0.0.0:1006</value>
</property>
<property>
  <name>dfs.datanode.keytab.file</name>
  <value>/home/nachuang/Workspace/Hadoop/hadoop-1.0.4/conf/nachuang.keytab</value> 
</property>
<property>
  <name>dfs.datanode.kerberos.principal</name>
  <value>nachuang/_HOST@hdfs.server</value>
</property>
<property>
  <name>dfs.datanode.kerberos.https.principal</name>
  <value>host/_HOST@hdfs.server</value>
</property>

mapred-site.xml

<property>
  <name>mapreduce.jobtracker.kerberos.principal</name>
  <value>nachuang/_HOST@hdfs.server</value>
</property>
<property>
  <name>mapreduce.jobtracker.kerberos.https.principal</name>
  <value>host/_HOST@hdfs.server</value>
</property>
<property>
  <name>mapreduce.jobtracker.keytab.file</name>
  <value>/home/nachuang/Workspace/Hadoop/hadoop-1.0.4/conf/nachuang.keytab</value> 
</property>
<property>
  <name>mapreduce.tasktracker.kerberos.principal</name>
  <value>nachuang/_HOST@hdfs.server</value>
</property>
<property>
  <name>mapreduce.tasktracker.kerberos.https.principal</name>
  <value>host/_HOST@hdfs.server</value>
</property>
<property>
  <name>mapreduce.tasktracker.keytab.file</name>
  <value>/home/nachuang/Workspace/Hadoop/hadoop-1.0.4/conf/nachuang.keytab</value> 
</property>
<property>
  <name>mapred.task.tracker.task-controller</name>
  <value>org.apache.hadoop.mapred.DefaultTaskController</value>
</property>
<property>
  <name>mapreduce.tasktracker.group</name>
  <value>nachuang</value>
</property>

hadoop-env.sh
export hadoop_secure_dn_user=nachuang

taskcontroller.cfg
hadoop.log.dir=/home/nachuang/Workspace/Hadooop/hadoop-1.0.4/logs
mapred.tasktracker.tasks.sleeptime-before-sigkill=2
mapreduce.tasktracker.group=nachuang

另外,要安装jsvc和aes。

sudo apt-get install jsvc

JCE下载地址: http://www.oracle.com/technetwork/java/javase/downloads/index.html

Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 7

将下载的包解压并放到该目录下:
$JAVA_HOME/jre/lib/security


验证:

先启动KDC: sudo krb5kdc
如果要用kadmin登录的话, 还要启动: sudo kadmind

启动HDFS:
namenode:  bin/hadoop-daemon.sh start namenode
datenode需要用root用户: sudo bin/hadoop-daemons.sh start datanode

测试: bin/hadoop fs -ls 
如果Kerberos配置成功,应该显示以下错误,表示当前用户没有TGT:

ERROR security.UserGroupInformation: PriviledgedActionException as:nachuang cause:javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)]

kinit -k -t nachuang.keytab nachuang/mcw-cc-nachuang@hdfs.server

执行后会生成/tmp/krb5cc_1000(TGT和Key)文件,缓存之后将不需要再一次让Kerberos验证Client的身份,只需将TGT交给Kerberos生成Ticket即可。

常见错误:

kadmin是显示:
kadmin: Client not found in Kerberos database while initializing kadmin interface
说明当前用户没有在kerberos 的数据库, 在kadmin.local中,用命令addprinc加入你想
登录的用户名。

启动服务:
ERROR: java.io.IOException: Login failure for nachuang/mcw-cc-nachuang@hdfs.server from keytab /home/nachuang/Workspace/Hadoop/hadoop-1.0.4/conf/nachuang.keytab
at org.apache.hadoop.security.UserGroupInformation.loginUserFromKeytab
基本上是keytab的问题,重新tadd一个keytab。

参考:

Kerberos错误消息:



那闯
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kerberos】ambari启用kerberos 报错处理
人生所向,皆是美好
03-02 5891
文章目录一、 ambari中启用kerberos报错Invalid KDC administrator credentials. Please enter admin principal and password.二、Can not fetch master key (error: No such file or directory). while initializing kadmin.loca...
Hadoop部署和配置Kerberos安全认证
05-17
Hadoop部署和配置Kerberos安全认证全套流程。已经过实测并部署与生产环境。
Kinit :Client ‘‘ not found in Kerberos database while getting initial credentials
小海的专栏
11-13 8420
kinit admin报错 Kinit :Client '' not found in Kerberos database while getting initial credentials 密码错误。
常见的 Kerberos 错误消息
zy531的专栏
01-31 1万+
http://docs.oracle.com/cd/E19253-01/819-7061/trouble-6/index.html 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息 All authentication systems disabled; connection refused
kafka开启kerberos,报错server not found in kerberos database
chenzl的专栏
07-31 1万+
kafka开启了SASL(kerberos), server.properties配置为 sasl.enabled.mechanisms: GSSAPI security.inter.broker.protocol: SASL_PLAINTEXT ssl.mode.enable: false allow.everyone.if.no.acl.found: true sasl.port: 19092 服务端的jaas.conf内容为 KafkaServer { com.sun.security.auth.m
kerberos集群安装配置(十)
forever19870418的博客
03-31 2765
Kerberos集群规划 Kerberos安装配置 一、安装KDC server 二、修改配置文件 1)/etc/krb5.conf 2)/var/kerberos/krb5kdc/kdc.conf 3)/var/kerberos/krb5kdc/kadm5.acl 三、同步/etc/krb5.conf到其他服务器 四、创建数据库 五、启动服务 六、创建Kerber
kerberos+hadoop搭建
04-01
Kerberos+Hadoop 搭建是一个复杂的过程,需要进行环境准备、Kerberos 配置、HDFS 配置、YARN 配置和 Hive 配置等多个步骤。但是,通过这篇文章,读者可以了解 Kerberos+Hadoop 搭建的整个过程,并掌握相关的知识点。
用于与Apache Hadoop的同步hadoop-assemblies.rar
06-22
此外,安全性和容错性也是Hadoop集群必须考虑的因素,可以通过启用Kerberos实现认证,通过HA(高可用性)设置确保NameNode的冗余。 总而言之,`hadoop-assemblies`这个压缩包是部署和使用Apache Hadoop的基础,涵盖...
用于与Apache Hadoop的同步hadoop-client-modules.rar
最新发布
06-22
这些模块通常需要配置相应的Hadoop配置文件(如core-site.xml、hdfs-site.xml、yarn-site.xml等),以连接到实际的Hadoop集群。 总结来说,`hadoop-client-modules.rar`是一个包含Hadoop客户端各种组件的压缩包,...
用于与Apache Hadoop的同步hadoop-build-tools.rar
06-22
8. **安全工具**:Hadoop支持多种安全性特性,如Kerberos认证、访问控制列表(ACLs)和加密。这些工具可能包含配置和管理这些安全功能的脚本和指南。 9. **开发环境集成**:如Eclipse或IntelliJ IDEA的插件,帮助...
Kerberos常见错误及解决方案
shkstart的博客
08-31 1万+
1、 Kerberos启动后台日志提示异常:No such file or directory – while initializing database for realm HADOOP.COM 在/var/log/krb5kdc.log中发现No such file or directory – while initializing database for realm HADOOP.COM。 解决方案: ①: 检查kdc.conf和krb5.conf文件是否配置正确,修改配置,注意:配置文件的[kdc
Kerberos 错误消息
那闯
03-22 4151
Kerberos 错误消息 转自: http://www.cclove.me/linux_basic/0330regularex/information/computer/c7f5e5c986e6c339d5285ca8f02add28.html SEAM Administration Tool 错误消息 Unable to view the list of principals
Kerberoskerberos认证常见错误介绍
热门推荐
wk022的专栏
01-19 5万+
本节按字母顺序 (A-M) 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息。 备注:下面这些错误有部分是通用的错误,所以解决方法并不一定适用所有场景,具体的解决方案是需要具体分析。不能一概而论。 All authentication systems disabled; connectio
Kerberos hadoop常见问题汇总
周源的专栏
09-27 1万+
链接:https://github.com/steveloughran/kerberos_and_hadoop/blob/master/sections/errors.md 问题汇总: 1、GSS initiate failed —no further details provided 2、Server not found in Kerberos database (7) or se
freeipa kinit 报错处理
weixin_33953384的博客
12-12 492
2019独角兽企业重金招聘Python工程师标准>>> ...
CDH安装以及开启kerberos
szh1124的专栏
04-05 5087
首先感谢前任总结的一些经验,尤其是开启kerberos方面,看了好几篇文章才最终搞定,当然还有好基友同事的一起帮忙,首先说一下按照CDH官方网站上提供的文档,我没有搞定,可能是英文水平太差的原因。 一、主机修改篇 1、下载地址:http://archive.cloudera.com/cm5/cm/5/  CDHmanager下载cloudera-manager-centos7-cm5.7.5_
CDH5.X安装配置kerberos认证过程
wulantian的专栏
01-14 1万+
//CDH安装配置kerberos认证过程---coco # by coco # 2014-12-23 CDH-5.2.0-1.cdh5.2.0安装成功,已经运行了几个月了。现在把确实的认证安装配置上。下面是详细的安装配置过程,已经过程中遇到的问题解决办法。 1. 背景 在Hadoop1.0.0或者CDH3 版本之前, hadoop并不存在安全认证一说。默认集群内所有的节
[Kerberos基础]-- kdc集群主从搭建(kerberos相关)
欢迎来到我的博客,一起探索代码里的世界!
03-02 1万+
主机规划 10.10.100.94   master 10.10.100.93   slave 10.10.100.92   client   (一)环境:  名称            版本         CentOS        CentOS release 6.7(Final)        Kerberos        krb5-server-1.10.3-57.e...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值