kerberos学习

 

规划

服务端 

一般是一台机器 这里是cdh3

-配置文件  krb5.conf

-kdc.conf

-kadm5.acl 

匹配这个规则的账户有所有权限 ，下文为账户格式解释:

instance 一般是主机名hostname ，admin/admin@ITCAST.CN 是特殊的管理员 所以是admin不是hostname

-创建针对relam的database

创建db后得到这4个文件

-登入后台   ，在admin_server上 可以直接命令登入后台创建用户 

创建 admin账户 

客户端 

-登入一个账户

PS ，kinit是输入pwd登入  ；kinit -kt是有一种用keytab登入的 无需密码

-在客户端登入   admin后台

为hadoop 规划 principal 

principal就是上文的账户 ， <account>/<hostname>@relam  (ITCAST.CN)

FYI： 如下 root用户 通过kinit获得了test 账户的ticket

Important

所以要操作 namenode你要先获得 nn/cdh0.itcast.cn@ITCAST.CN 的ticket  ， nn/cdh0.itcast.cn@ITCAST.CN 与  namenode 的关系 在hadoop配置文件中 binding了

（所以 namenode的角色 与nn/cdh0.itcast.cn@ITCAST.CN 账户 做了绑定？  要授权获取ticket才能驾驭namenode 行动 ，think namenode as a car that only privileged account can drive!

那么 linux 账户其实整套体系无关？linux 账户eg: "hdfs"  just in order to  creating permission  for. access of  nn/cdh0.itcast.cn@ITCAST.CN 's  keytab or relevant dir that preventing others        ）

来自youtube截图

Important

上文 客户端 hadoop fs -ls 命令后，先像AS ，TGS 获取了（nn） service ticket， 然后和 HDFS NN交互时， client通过hadoop rpc 和NN 交换了 彼此的 ticket ,然后又用各自从KDC拿的解密信息认证了 彼此为 正确的身份  

配置hdfs

PS:randkey 随机密码

登入admin  创建三个用户 并且生成对应keytab到本地

设置对应linux用户有对应的keytab权限:

 PS； cdh0 cdh1 cdh2 cdh3 是hostname中配置的域名简写

因为cdh1 cdh2 作为hadoop node节点需要运行datanode nodemanager http（spnego） 所以这两台机器也要创建对应的 principal 和本地keytab ，操作同上  cdh0 换成 cdh1 cdh2

创建数据目录，对应目录都可以修改  下面是在根目录下 建的 /data/

 -安装protobuf

5.设置hadoop各路径的权限 ，P8后部视频 【大数据基础】快速掌握Hadoop集成Kerberos安全技术_哔哩哔哩_bilibili 

FYI   container-executor.cfg  自己和它的上层都要求是 root的

hadoop的匹配规则  HDFS

core-site.xml

自己猜测: 上面这些principal 和 linux账户的mapping ，应该是 远程访问的时候，比如用jar 里带 keytab， hadoop 程序逻辑里 自动将 keytab 对应成 linux用户去执行 读写，也进一步 实现ranger 的acl能力

hdfs-site.xml

HOST这里在不同机器上 会自动解析