0706-6.2.0-Windows Kerberos客户端配置并访问CDH

最新推荐文章于 2023-08-19 11:09:06 发布
最新推荐文章于 2023-08-19 11:09:06 发布
阅读量500 收藏 1
点赞数
分类专栏: Hadoop实操
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hadoop_SC/article/details/101990942
版权

Fayson的github: https://github.com/fayson/cdhproject

推荐关注微信公众号:“Hadoop实操”,ID:gh_c4c535955d0f

1 文档编写目的

在使用CDH的过程中,集群启用了Kerberos认证后,集群中的一些组件的Web UI也会启用Kerberos认证,例如HDFS、Yarn、Hive等组件,此时如果在Windows上对这些页面进行访问,是无法正常访问的,需要在Windows本地安装上Kerberos客户端,并进行配置后才能够访问这些需要Kerberos认证的Web UI,本文档将介绍如何在Windows 10安装Kerberos客户端并配置FireFox浏览器访问CDH集群组件的Web UI。

  • 测试环境:

1.CM和CDH版本为6.2.0

2.本地操作系统环境为Windows10

3.集群服务均正常运行

4.集群启用Kerberos

5.集群操作系统版本为RedHat7.2

2 Kerberos安装

1.在Kerberos官网下载安装包,下载地址:

http://web.mit.edu/kerberos/dist/

在这里插入图片描述

2.本文档下载了64位的 安装包,下面按步骤进行安装

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

至此安装完成

3.配置C:\ProgramData\MIT\Kerberos5\krb5.ini文件

在这里插入图片描述

将安装KDC Server的服务器上的/etc/krb5.conf配置文件中的部分内容拷贝到该文件中

在这里插入图片描述

注意:不要直接替换krb5.ini文件,否则会出现文件格式问题,建议拷贝部分内容到krb5.ini文件中,然后保存文件

4.配置完成后,启动MIT Kerberos客户端,如下图所示:

在这里插入图片描述

3 在Windows下使用kinit测试

1.在KDC Server上创建一个用户

[root@cdh178 ~]# kadmin.local 
Authenticating as principal solr/admin@MACRO.COM with password.
kadmin.local:  addprinc test_krb
WARNING: no policy specified for test_krb@MACRO.COM; defaulting to no policy
Enter password for principal "test_krb@MACRO.COM": 
Re-enter password for principal "test_krb@MACRO.COM": 
Principal "test_krb@MACRO.COM" created.

在这里插入图片描述

测试正常

在这里插入图片描述

2.在Winodw端,通过MIT Kerberos客户Get Ticket

在这里插入图片描述
在如下列表中可以看到获取的ticket
在这里插入图片描述
3.销毁获取到的Ticket

在这里插入图片描述

在这里插入图片描述

4.命令行下初始化
在这里插入图片描述
在客户端可以看到初始化成功的Ticket

在这里插入图片描述

5.命令行下kdestroy
在这里插入图片描述

客户端数据已kdestroy
在这里插入图片描述

4 使用keytab文件测试Kerberos

1.在KDC Server上生成keytab文件,使用test_krb@MACRO.COM账号

[root@cdh178 ~]# kadmin.local 
Authenticating as principal test_krb/admin@MACRO.COM with password.
kadmin.local:  xst -norandkey -k test_krb.keytab test_krb@MACRO.COM
Entry for principal test_krb@MACRO.COM with kvno 1, encryption type aes256-cts-hmac-sha1-96 added to keytab WRFILE:test_krb.keytab.
Entry for principal test_krb@MACRO.COM with kvno 1, encryption type aes128-cts-hmac-sha1-96 added to keytab WRFILE:test_krb.keytab.
Entry for principal test_krb@MACRO.COM with kvno 1, encryption type des3-cbc-sha1 added to keytab WRFILE:test_krb.keytab.
Entry for principal test_krb@MACRO.COM with kvno 1, encryption type arcfour-hmac added to keytab WRFILE:test_krb.keytab.
Entry for principal test_krb@MACRO.COM with kvno 1, encryption type camellia256-cts-cmac added to keytab WRFILE:test_krb.keytab.
Entry for principal test_krb@MACRO.COM with kvno 1, encryption type camellia128-cts-cmac added to keytab WRFILE:test_krb.keytab.
Entry for principal test_krb@MACRO.COM with kvno 1, encryption type des-hmac-sha1 added to keytab WRFILE:test_krb.keytab.
Entry for principal test_krb@MACRO.COM with kvno 1, encryption type des-cbc-md5 added to keytab WRFILE:test_krb.keytab.

生成成功
在这里插入图片描述

在这里插入图片描述

测试keytab文件

在这里插入图片描述
测试成功

2.将生成的keytab文件拷贝到本地Windows环境,进行kinit测试
在这里插入图片描述
初始化成功,在客户端查看

在这里插入图片描述

5 配置FireFox浏览器访问

1.打开FireFox浏览器,在地址栏输入about:config
在这里插入图片描述
2.修改配置

network.negotiate-auth.trusted-uris = cdh178.macro.com,cdh177.macro.com,cdh176.macro.com
network.auth.use-sspi = false

network.negotiate-auth.trusted-uris这个参数配置的是访问服务的hostname,配置多个的话以“,”分隔
在这里插入图片描述

在这里插入图片描述

6 测试访问集群服务

6.1 测试访问HDFS和Yarn

1.由于此时未初始化HDFS的Ticket,所以无法访问

在这里插入图片描述

2.进入到/var/run/cloudera-scm-agent目录下,到最新的HDFS的目录中找到HDFS的keytab文件
在这里插入图片描述

在这里插入图片描述
3.测试HDFS的keytab文件是否能够正常使用

[root@cdh177 1298-hdfs-NAMENODE]# kinit -kt hdfs.keytab hdfs/cdh177.macro.com@MACRO.COM
[root@cdh177 1298-hdfs-NAMENODE]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: hdfs/cdh177.macro.com@MACRO.COM

Valid starting       Expires              Service principal
08/04/2019 10:08:39  08/05/2019 10:08:39  krbtgt/MACRO.COM@MACRO.COM
    renew until 08/09/2019 10:08:39

在这里插入图片描述

初始化成功

4.将HDFS的keytab文件拷贝到Windows本地,并进行kinit

在这里插入图片描述

在这里插入图片描述

5.再次通过FireFox访问HDFS服务,能够正常访问
在这里插入图片描述

6.访问Yarn资源管理服务,访问正常

在这里插入图片描述

在这里插入图片描述

6.2 keytab合并使用

1.将需要合并的keytab文件同意的放在同一个目录下

在这里插入图片描述

2.使用ktutil命令合并keytab文件,操作如下:

[root@cdh177 0804]# ktutil 
ktutil:  rkt hbase.keytab
ktutil:  rkt hdfs.keytab
ktutil:  rkt hive.keytab
ktutil:  rkt yarn.keytab
ktutil:  wkt test-new.keytab
ktutil:  exit

在这里插入图片描述
keytab合并成功,默认生成的keytab文件权限是600,如果事应非root用户执行需要注意权限问题

3.将生成的合并后的keytab文件拷贝到本地Windows环境进行测试

使用hdfs凭证进行初始化

在这里插入图片描述
访问HDFS服务成功

在这里插入图片描述
使用hive凭证进行初始化

在这里插入图片描述
访问HDFS服务成功

在这里插入图片描述
使用hbase凭证进行初始化

在这里插入图片描述
访问HDFS服务成功

在这里插入图片描述

使用yarn凭证进行初始化

在这里插入图片描述
访问HDFS服务成功
在这里插入图片描述
通过测试可以看出,使用合并后的keytab文件,无论用哪个系统用户的身份进行认证,配置成功后都能够通过FireFox浏览器访问服务的页面

7 总结

1.Windows本地的krb5.ini文件不能直接使用krb5.conf文件更名替换,否则会出现文件格式的问题导致MIT Kerberos客户端无法正常启动。

2.在生成keytab文件时需要加上”-norandkey”参数,否则会导致kinit时密码错误。

3.在Windows本地安装了Java环境后,由于Java里也有kinit、klist等命令,所以需要在Path环境变量里面,将Kerberos的环境变量位置调整到Java环境变量的前面,保证在Windows本地使用的kinit、klist等命令是使用的Kerberos的命令,否则就会导致命令冲突,如下图,将Kerberos的环境变量调整到最前面即可。

在这里插入图片描述

Hadoop_SC
关注
专栏目录
windows配置kerberos认证
01-09
最近在研究hive数据库,但是Windows环境下hive数据库登录需要kerberos的认证,被kerberos的认真折磨了好几天,差不多把百度翻了个底朝天没找到实际价值,后来终于解决了。总结了一份文档
Windows Kerberos客户端配置访问CDH
shy_snow的专栏
01-29 2239
1.Windows安装 Kerberos 客户端; 2.配置 krb5.ini 3.执行 kinit 发起认证 4.浏览器可信配置,在浏览器输入about:config打开配置: 输入 `network.auth.use-sspi`,并点击切换到 `false`; 输入 `network.negotiate-auth.trusted-uris`,输入可信 URL 地址; 输入 `network.negotiate-auth.delegation-uris`;
windows 配置 Kerberos客户端访问CDH组件
最新发布
mizuhokaga的博客
08-19 923
Kerberos Windows客户端配置访问
Kerberos 的安装和使用
u011250186的博客
11-25 3870
Kerberos 的安装和使用
CDH 6.2.0启用kerberos认证
weixin_45682234的博客
07-06 784
1. 整体说明 集群主机角色划分(cdh6.2.0(续)) n76.aa-data.cn作为master节点,安装kerberos Server 其他节点作为slave节点,安装kerberos client 2. 安装 Kerberos 在 n76.aa-data.cn上安装 krb5、krb5-server 和 krb5-client。 yum install krb5-server -y #klist等命令找不大时执行下面安装 yum install -y krb5-server krb5-works
0596-6.2.0-如何在CDH6.2中禁用Kerberos
Hadoop_SC的博客
10-28 727
Fayson的github: https://github.com/fayson/cdhproject 推荐关注微信公众号:“Hadoop实操”,ID:gh_c4c535955d0f 1 文档编写目的 Fayson在前面的文章介绍了如何为CDH集群启用Kerberos,在集群启用Kerberos后,会对现有环境的部分代码做改造,有些人觉得使用起来不方便,想取消Kerberos。本篇文章Fays...
0621-6.2.0-如何卸载CDH6.2
Hadoop_SC的博客
10-04 2034
Fayson的github: https://github.com/fayson/cdhproject 推荐关注微信公众号:“Hadoop实操”,ID:gh_c4c535955d0f 1 文档编写目的 Fayson在两年前的文章中介绍过CDH的卸载,参考《0008-如何卸载CDH(附一键卸载github源码)V1.2》和《0609-6.1.0-如何卸载CDH6.1》。除非你是使用Clouder...
0634-6.2.0-如何在CDH中安装Sentry服务
Hadoop_SC的博客
10-03 528
Fayson的github: https://github.com/fayson/cdhproject 推荐关注微信公众号:“Hadoop实操”,ID:gh_c4c535955d0f 1 安装前置 确认满足以下前置: 1.CM/CDH5.1.0或以上。 2.如果需要配置Sentry高可用,需要使用CM/CDH5.13.0以上。 3.如果需要配置Sentry高可用,需要准备一个关系型数据库用以保...
0713-6.2.0-HBase的Thrift Server启动问题
Hadoop_SC的博客
10-20 956
Fayson的github: https://github.com/fayson/cdhproject 推荐关注微信公众号:“Hadoop实操”,ID:gh_c4c535955d0f 1 异常描述 配置Hue集成HBase的过程中,添加角色实例HBase Thrift Server后,把HBase Thrift身份验证(hbase.thrift.security.qop)配置为auth-con...
Kerberos在linux安装部署
11
10-09 3710
kerberos在linux环境安装部署 参考博客: https://zhuanlan.zhihu.com/p/425769862 https://blog.csdn.net/Michaelwubo/article/details/109621044
0005-Windows Kerberos客户端配置访问CDH
Hadoop_SC的博客
11-15 1777
温馨提示:要看高清无码套图,请使用手机打开并单击图片放大查看。 1.概述 本文档描述Windows Server2008 R2(windows的内核版本是6.1,与windows 7相同)下安装Kerberos Client及FireFox下HTTP访问HDFS、Yarn、Hive、HBase等Hadoop服务的Web UI(如Namenode的50070,Yarn的8088)的过程。安装文档...
Windows 配置kerberos访问并启动访问CDH 集群web UI页面
wu的博客
12-13 4858
1、问题描述: CDH集群启用 HTTP Web 控制台的 Kerberos 身份验证后,FireFox下HTTP访问HDFS、Yarn、Hive、HBase等Hadoop服务的Web UI(如Namenode的50070,Yarn的8088)等出现错误 2、解决方案: 思路: windows 10 安装kerberos客户端 1、win10安装Kerberos客户端Kerberos官网下载K...
KDC添加加密
weixin_38169769的博客
08-27 668
零售KDC管理的域为TESTA.COM 华为集群管理的域为hadoop.com (目前测试了hdfs cli,下午在UAT集群测试下distcp) 一、 零售KDC升级支持AES加密算法 1、 修改/usr/local/var/krb5kdc/kdc.conf文件中的realms部分 master_key_type = des3-cbc...
CDH5.X安装配置kerberos认证过程
热门推荐
wulantian的专栏
01-14 1万+
//CDH安装配置kerberos认证过程---coco # by coco # 2014-12-23 CDH-5.2.0-1.cdh5.2.0安装成功,已经运行了几个月了。现在把确实的认证安装配置上。下面是详细的安装配置过程,已经过程中遇到的问题解决办法。 1. 背景 在Hadoop1.0.0或者CDH3 版本之前, hadoop并不存在安全认证一说。默认集群内所有的节
建立 Windows AD 对 Kerberos 的单向信任(允许使用域账号登录Kerberos集群)
Laurence的技术博客
04-07 4913
文章目录1. 环境说明2. 在AD服务器上添加Kerberos的KDC并信任其Realm3. 配置加密类型4. 在Kerberos配置对AD的信任5. 修改应用程序的认证配置 这一操作具有广泛的适用场景,例如:在一个启用了Kerberos的大数据集群下,想联通企业的Windows AD服务器,允许企业用户使用域账号和密码登入集群或提交作业。注意:典型的应用场景下,我们是不需要配置KerberosWindows AD双向互信,因为让Windows AD取信任Kerberos管控集群的那些服务账号没有特别大
Hadoop API通过Kerberos认证读取HDFS(windows)
吃果冻不吐果冻皮
06-01 2588
源数据 代码 package com.lgd.hadoop.hdfs; import org.apache.hadoop.conf.Configuration; import org.apache.hadoop.fs.FSDataInputStream; import org.apache.hadoop.fs.FileSystem; import org.apache.hadoop....
kerberosKerberos安装使用详解及遇到的问题
Mrerlou的博客
03-18 5495
Kerberos协议: Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安全性。 环境信息: 信息 版本 操作系统 centos6.9 服务器类型 虚拟机 CDH 5.13 节点数量 5 节点信息:
CDH配置Kerberos,通过windows浏览器访问管理页面
weixin_41407399的博客
09-09 1575
CDH配置kerberos权限后,通过windows浏览器访问namenode,yarn等页面会被拒绝访问,造成这种现象的原因是因为在你访问windows系统中没有配置kerberos客户端,导致没有权限访问。在这里我们需要安装 mit kerberos,下载地址如下: http://web.mit.edu/kerberos/dist/index.html 下载安装完成后,我们配置C:\P...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值