1-2 集群Kerberos安全配置

最新推荐文章于 2024-07-11 00:29:13 发布
最新推荐文章于 2024-07-11 00:29:13 发布
阅读量2k 收藏
点赞数 1
分类专栏: hadoop集群 文章标签: hadoop 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wohunter2010/article/details/44056943
版权
本文档详细介绍了在hadoop2.2.0、zookeeper-3.3.5和hbase-0.96.0-hadoop2集群中添加Kerberos认证的全过程,包括节点部署、集群用户设置、Kerberos服务配置、Hadoop、Zookeeper和HBase的修改等步骤,确保不同进程由不同用户启动,并通过JCE、KDC安装、配置、初始化和管理来实现安全认证。
摘要由CSDN通过智能技术生成

在集群hadoop2.2.0( 无HA)+zookeeper-3.3.5+hbase-0.96.0-hadoop2

正常运行的情况下,添加kerberos认证。

 

一.部署

目录/opt用于存放*.keytab文件

mkdir -p /opt

 

节点部署

Master1

Master2

Master3

Master4

Master5

Slave1

Slave15

client

client

client

client

KDC

client

client

 

 

HMaster

HMaster

 

HRegionserver

namenode

Secondary

namenode

RM

JHS

 

Datanode

Datanode

 

 

zookeeper

zookeeper

zookeeper

 

 

 

集群用户设置

确保不同进程是由不同的Unix用户启动的,其中datanode由root用户通过jsvc启动,推荐他们都属于同一个组如Hadoop。

User:Group

Daemons

hdfs:hadoop

NameNode, Secondary NameNode, Checkpoint Node, Backup Node, DataNode(root)

yarn:hadoop

ResourceManager, NodeManager

mapred:hadoop

JobHistory Server

zookeeper:hadoop

QuorumPeerMain

hbase:hadoop

HMaster,HRegionServer

 

二.配置kerberos服务

1.JCE

对于使用centos5.6及以上的系统,默认使用AES-256来加密的,这就要求所有节点安装JCE, Java Cryptography Extension (JCE) Unlimited StrengthJurisdiction Policy Files 7 ,将下载的包解压并放到该目录下:

$JAVA_HOME/jre/lib/security

2.安装kdc

kdc服务器上安装 kerberos-server ,centos默认已经安装了kerberos 的客户端以及命令工具,只需要在kdc服务器上安装kerberos的server:

#rpm -qa | grep krb

#yum install -y krb5-server

服务端:

krb5-libs-1.10.3-10.el6_4.6.x86_64

krb5-workstation-1.10.3-10.el6_4.6.x86_64

krb5-server-1.10.3-10.el6_4.6.x86_64

pam_krb5-2.3.11-9.el6.x86_64

krb5-devel-1.10.3-10.el6_4.6.x86_64

客户端:

krb5-libs-1.10.3-10.el6_4.6.x86_64

krb5-workstation-1.10.3-10.el6_4.6.x86_64

pam_krb5-2.3.11-9.el6.x86_64

 

3.配置kdc

kdc服务器涉及到三个配置文件:

/etc/krb5.conf、

/var/kerberos/krb5kdc/kdc.conf、

/var/kerberos/krb5kdc/kadm5.acl

hadoop集群中其他服务器涉及到的kerberos配置文件:/etc/krb5.conf。

将kdc中的/etc/krb5.conf拷贝到集群中其他服务器即可。

集群如果开启selinux了,拷贝后可能需要执行restorecon -R -v/etc/krb5.conf

 

/etc/krb5.conf  (分发到各客户端)黑色加粗为自定义部分

[logging]

 default = FILE:/var/log/krb5libs.log

 kdc= FILE:/var/log/krb5kdc.log

 admin_server = FILE:/var/log/kadmind.log

[libdefaults]

 default_realm =FOR_HADOOP

 dns_lookup_realm = false

 dns_lookup_kdc = false

 ticket_lifetime = 24h

 renew_lifetime = 2d

 forwardable = true

renewable = true

[realms]

 FOR_HADOOP = {

  kdc=master5:88

  admin_server=master5:749

 }

[domain_realm]

[kdc]

profile=/var/kerberos/krb5kdc/kdc.conf

FOR_HADOOP是数据库名,也是kerberos的域名

[libdefaults]中的defalt_realm表示在不给出域的时候,默认采用这个 

[logging]中的是指定日志的位置 

默认的安装位置在/var/kerberos/krb5kdc

/var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]

 kdc_ports = 88

 kdc_tcp_ports = 88

[realms]

FOR_HADOOP={

 database_name=/var/kerberos/krb5kdc/principal

 master_key_type = aes256-cts

 acl_file = /var/kerberos/krb5kdc/kadm5.acl

 dict_file = /usr/share/dict/words

  admin_keytab= /var/kerberos/krb5kdc/kadm5.keytab

 supported_enctypes = aes256-cts:normal aes128-cts:normaldes3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normaldes-cbc-md5:normal des-cbc-crc:normal

 }

 

配置操作权限:

/var/kerberos/krb5kdc/kadm5.acl

*/admin@FOR_HADOOP *

hadoop/admin@FOR_HADOOP *

(kdc上)添加kerberos自启动及重启服务

# chkconfig --level 35 krb5kdc on

# chkconfig --level 35 kadmin on

# service krb5kdc restart

# service kadmin restart

4.初始化操作

(1)(kdc上)创建KDC数据库

#kdb5_util create -r FOR_HADOOP -s

该命令会在/var/kerberos/krb5kdc/目录下创建principal数据库。

密码ttteee

开始为KDC设置初始用户信息,这里需要在KDC上执行kadmin.local命令(该命令仅能在KDC上运行,如果你需要在其他机器上管理kerberos的话,直接运行kadmin)

服务器端操作:#kadmin.local

(2)(kdc上)创建远程管理的管理员(hadoop)

最低0.47元/天 解锁文章
sealhunter
关注
专栏目录
CDH集群离线搭建(适用内网)——Kerberos安装配置及使用⑨
M_red的博客
03-13 1123
修改/etc/krb5.conf文件修改/var/kerberos/krb5kdc/kdc.conf文件,修改EXAMPLE.COM为自己公司的域名。修改/var/kerberos/krb5kdc/kadm5.acl文件,修改EXAMPLE.COM为自己公司的域名。在cm界面开启Kerberos认证......
zookeeper+kerberos 集群安装
csq2002的专栏
12-04 937
zookeeper+kerberos 集群安装 下载: http://mirror.bit.edu.cn/apache/zookeeper/stable/zookeeper-3.4.12.tar.gz refer to: https://www.cnblogs.com/fesh/p/3900253.html   安装配置文件   echo "1" > /data/zookee...
Kerberos 的安装和使用
傅腾的专栏
06-15 5430
讲述 Kerberos 详细的安装和使用
03、Kerberos安全认证之配置和访问Kerberos安全认证的Hadoop集群学习笔记
最新发布
每个人都是独一无二的,把握好自己的节奏,跟着自己的心走。
07-11 1092
03、Kerberos安全认证之配置和访问Kerberos安全认证的Hadoop集群学习笔记
kerberos常见错误及解决方法
HRay's blog
04-12 2236
oracle总结的还是比较全面的 https://docs.oracle.com/cd/E26926_01/html/E25889/trouble-2.html
Kerberos安全认证-连载10-Hive Kerberos 安全配置及访问_idea连接 kerberos 认证的hiveserver2
2401_84281594的博客
05-02 873
将HDFS中的core-site.xml 、hdfs-site.xml 、yarn-site.xml文件及Hive客户端配置hive-site.xml上传到项目resources资源目录中。将HDFS中的core-site.xml 、hdfs-site.xml 、yarn-site.xml文件及Hive客户端配置hive-site.xml上传到项目resources资源目录中。Flink读取Kerberos认证Hive也需要进行认证,这里以FlinkSQL读取Hive中数据为例来演示,步骤如下。
资料-Hadoop集成Kerberos安全技术
02-21
**Sentory与Kerberos**:Sentory可能是一个监控或审计工具,它可能与Kerberos结合,提供对Hadoop集群安全事件的监控和报告,帮助管理员检测和应对潜在的安全威胁。 **课件与资源**:提供的课件和资源如“Hadoop+...
Spring-Kafka对接有kerberos安全认证的Kafka集群
01-19 2681
部分链接信息: Spring官网对kafka的指导https://docs.spring.io/spring-boot/docs/current/reference/html/spring-boot-features.html#boot-features-kafka 样例使用代码:https://github.com/spring-projects/spring-kafka/tree/master/samples/sample-01 测试环境: FusionInsight HD 6.5.1版本...
Hadoop部署和配置Kerberos安全认证
05-17
2. **配置Kerberos配置文件** - 配置`/etc/krb5.conf`文件,特别需要注意的是`default_realm`字段,这通常被理解为域名称(例如`TEST.COM`)。确保使用大写字母,并且在配置`kdc`和`admin_server`时使用相同的主机...
Kerberos配置
qq_36191174的博客
09-06 2588
目录 1.主机配置步骤 1.1安装并开启ntp服务 1.2安装kerberos服务器 1.3修改配置 1.4创建/初始化kerberos database 1.5使用kadmin.local新增用户 1.6启动kerberos服务 1.7 测试登陆 2.客户机端配置 2.1安装并开启ntp服务 2.2安装kerberos客户机端 2.3修改客户机配置 2.4测试客户机连接...
CDH5.8.4-Hadoop2.6.0-hive-yarn-hbase 集群配置集成 Kerberos认证
SimpleSimpleSimples的博客
01-26 650
1.Hadoop 的认证机制 简单来说,没有做 kerberos 认证的 Hadoop,只要有 client 端就能够连接上。而且,通过一个有 root 的权限的内网机器,通过创建对应的Linux用户,就能够得到 Hadoop 集群上对应的权限。而实行 Kerberos 后,任意机器的任意用户都必须现在 Kerberos 的 KDC 中有记录,才允许和集群中其它的模块进行通信...
大数据权限认证 Kerberos 部署
u011047968的专栏
03-01 1645
Kerberos是一种网络身份验证协议,旨在支持使用密钥加密的客户端/服务器应用程序的强大身份验证。Kerberos 为网络资源提供最高级别的安全性。Kerberos 应用客户端/服务器体系结构并支持用户到服务器的身份验证,而不是主机到主机的身份验证。在此模型中,安全性和身份验证将取决于密钥技术,其中网络上的每个主机都有自己的密钥。
大数据环境搭建步骤详解(Hadoop,Hive,Zookeeper,Kafka,Flume,Hbase,Spark等安装与配置
李天泉
09-13 3465
大数据环境安装和配置Hadoop2.7.7,Hive2.3.4,Zookeeper3.4.10,Kafka2.1.0,Flume1.8.0,Hbase2.1.1,Spark2.4.0等) 系统说明 搭建步骤详述 一、节点基础配置 二、Hadoop安装和配置 三、Hive安装和配置 四、ZooKeeper安装和配置 五、Kafka安装和配置 六、Flume安装和配置 七、Hbase安装和配置 八、Spark安装和配置 总结 前言:本篇文章是以Hadoop为基础,.
java中principal对象_在哪里创建自定义IPrincipal对象?
weixin_39558221的博客
02-26 360
我找到了问题的答案 .在loggin_in事件中,我应该保存身份验证cookie(我可以在UserData属性中存储我在customPrincipal中需要的所有信息),在Application_PostAuthenticateRequest中,我应该从该cookie创建CustomPrincipal . 这样这个事件会触发每个请求但我没有命中数据库 - 我从cookie中读取数据 .在我的情况下...
Kerberos (二) --------- Hadoop Kerberos 配置
在森林里麋了鹿
11-01 1481
Hadoop Kerberos 配置
hadoop 添加kerberos认证
hua840812的专栏
03-21 4008
参考Cloudera官方文档:Configuring Hadoop Security in CDH3 一、部署无kerberos认证的Hadoop环境 参考另一篇笔记:hadoop集群部署 或者按照Cloudera的官方文档:CDH3 Installation Guide. 二、环境说明 1、主机名 之前部署hadoop集群时,没有使
自定义IPrincipal 使用
我的地盘
03-02 1965
<br />本页内容<br /><br />目标<br /><br />适用范围<br /><br />如何使用本章内容<br /><br />摘要<br /><br />您必须了解的背景知识<br /><br />创建一个简单的Web 应用程序<br /><br />配置Web 应用程序的窗体身份验证<br /><br />为通过身份验证的用户生成身份验证票证<br /><br />创建一个实现和扩展IPrincipal 的类<br /><br />创建CustomPrincipal 对象<br /><b
CDH 5.15.1集群Kerberos安全认证实战指南
12. Kerberos主体:在配置完成后,系统会提示重启集群以应用Kerberos配置。 13. 重启集群:按照提示重启所有服务,以确保Kerberos认证生效。 完成以上步骤后,CDH集群将会在Kerberos环境下运行,所有的服务和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值