0419-如何将CDH中集成的RedHat7版Kerberos切换至Active Directory的Kerberos认证

最新推荐文章于 2024-03-31 18:18:47 发布
最新推荐文章于 2024-03-31 18:18:47 发布
阅读量442 收藏
点赞数
分类专栏: Hadoop实操
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hadoop_SC/article/details/104724951
版权

温馨提示:如果使用电脑查看图片不清晰,可以使用手机打开文章单击文中的图片放大查看高清原图。
Fayson的github:
https://github.com/fayson/cdhproject
提示:代码块部分可以左右滑动查看噢

1.文档编写目的

在前面Fayson介绍了多篇关于Window Server上安装的Active Directory服务,由于Active Directory服务即提供了统一的用户管理也提供了Kerberos认证服务,在向AD中新增用户的同时也为用户创建了相应的Kerberos账号,那本篇文章Fayson主要介绍,如何在不考虑自定义用户的Kerberos账号的前提下将CDH中集成的RedHat7的Kerberos迁移至AD的Kerberos认证。

  • 内容概述

1.测试环境描述

2.CDH迁移Kerberos认证至AD

3.集群服务启动及验证

4.总结

  • 测试环境

1.RedHat7.3

2.CM和CDH版本为5.15

3.集群已启用Kerberos

  • 前置条件

1.Active Directory已安装且正常使用

2.测试环境描述及准备

Fayson在前面一系列文章中介绍了AD的安装及与CDH集群中各个组件的集成,包括《01-如何在Window Server 2012 R2搭建Acitve Directory域服务》、《02-Active Directory安装证书服务并配置》、《03-Active Directory的使用与验证》、《04-如何在RedHat7上配置OpenLDAP客户端及集成SSSD服务和集成SSH登录》、《05-如何为Hive集成AD认证》、《06-如何为Impala集成AD认证》、《07-如何为Hue集成AD认证》、《08-如何为Navigator集成Active Directory认证》和《09-如何为CDSW集成Active Directory认证》。

  • AD服务信息
IP地址HOSTNAME描述
xxx.xx.x.xxadserver.fayson.comActive Directory已安装

1.准备一个用于CM管理AD中Kerberos的账号cloudera/admin

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SBmtiP05-1583594515085)(https://ask.qcloudimg.com/http-save/yehe-1522219/5qlmae17y6.jpeg)]

创建成功

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WL4o6wk8-1583594515088)(https://ask.qcloudimg.com/http-save/yehe-1522219/raxznpqlu3.jpeg)]

2.为cloudera-scm/admin设置Cloudera Groups和Cloudera Users组织的委派控制

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FQzhwIga-1583594515088)(https://ask.qcloudimg.com/http-save/yehe-1522219/gpov6xu17l.jpeg)]

设置委派控制的所有权限

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OTs8bWwJ-1583594515089)(https://ask.qcloudimg.com/http-save/yehe-1522219/fmw11s2lho.jpeg)]

3.CDH迁移Kerberos认证至AD

1.停止集群所有服务,CDH和CMS的所有服务

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2QqdV3ML-1583594515090)(https://ask.qcloudimg.com/http-save/yehe-1522219/knlh7baiqa.jpeg)]

2.修改集群所有节点的/etc/krb5.conf文件为如下内容

[root@cdh01 ~]# more /etc/krb5.conf
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 default_realm = FAYSON.COM
 #default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 FAYSON.COM = {
  kdc = adserver.fayson.com
  admin_server = adserver.fayson.com
 }

[domain_realm]
 .fayson.com = FAYSON.COM
 fayson.com = FAYSON.COM

(可左右滑动)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7dLNnFeL-1583594515091)(https://ask.qcloudimg.com/http-save/yehe-1522219/nsdb0rymwx.jpeg)]

3.进入“管理”-> “安全”-> “Kerberos凭据”界面

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3vqKBJhb-1583594515091)(https://ask.qcloudimg.com/http-save/yehe-1522219/w19nvs965n.jpeg)]

4.点击“配置”修改Kerberos服务指向AD服务,具体修改内容如下图标注部分

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jbckszXs-1583594515092)(https://ask.qcloudimg.com/http-save/yehe-1522219/l605rezd0t.jpeg)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GOeP629t-1583594515092)(https://ask.qcloudimg.com/http-save/yehe-1522219/oggbv7y8re.jpeg)]

5.保存配置后,回到“Kerberos凭据”界面,点击“导入Kerberos Account Manager凭据”

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QMmbKMYW-1583594515092)(https://ask.qcloudimg.com/http-save/yehe-1522219/pwjg3u657t.jpeg)]

用户名为前面环境准备节点创建的cloudera-scm/admin账号,输入账号密码后点击导入

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TruJtJwz-1583594515093)(https://ask.qcloudimg.com/http-save/yehe-1522219/awx97f726w.jpeg)]

完成Kerberos管理账号的导入,CM通过该账号向AD服务器创建集群所有服务使用到的Kerberos账号。

6.完成上述操作后,需要为集群重新生成Kerberos账号,注意重新生成的前提是需要集群所有服务已停止

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7VlyveZL-1583594515093)(https://ask.qcloudimg.com/http-save/yehe-1522219/zicqzmcvrb.jpeg)]

凭证生成成功

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0quX5sbz-1583594515094)(https://ask.qcloudimg.com/http-save/yehe-1522219/z4nnhypj03.jpeg)]

查看AD上Cloudera Users组织下有大量的用户生成,生成的用户为CDH各个服务的Kerberos账号。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TdTTWN5E-1583594515094)(https://ask.qcloudimg.com/http-save/yehe-1522219/abwqh8w47q.jpeg)]

4.启动服务及验证

1.集群所有服务均正常启动

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-RR4so3xf-1583594515094)(https://ask.qcloudimg.com/http-save/yehe-1522219/gq16armn89.jpeg)]

2.在集群中提交一个MR作业测试

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dQgj5kVM-1583594515095)(https://ask.qcloudimg.com/http-save/yehe-1522219/9jrkicqcbf.jpeg)]

作业执行成功

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PCJ4EvKg-1583594515095)(https://ask.qcloudimg.com/http-save/yehe-1522219/a12ljtoeh.jpeg)]

5.总结

1.CDH的Kerberos集成迁移至AD认证,同样需要在AD上创建一个用于CM统一管理Hadoop所有服务的Kerberos账号cloudera-scm/admin,注意该账号需要携带“/admin”后缀以表示该用于拥有管理创建Kerberos账号的权限。

2.在切换为AD认证后,需要配置Active Directory后缀属性,表示CM将Hadoop所有服务的用户创建到该组织下。

3.需要在CM上导入Kerberos Account Manager凭据(cloudera-scm/admin)。

4.完成所有AD的配置集成后,需要为集群所有服务重新生成Kerberos信息,因为AD服务器上并没有这些服务的Kerberos信息。

5.注意这里只能将CM及CDH所有服务的Kerberos账号生成到AD服务器中,至于自己创建的Kerberos账号需要手动的进行创建。

提示:代码块部分可以左右滑动查看噢
为天地立心,为生民立命,为往圣继绝学,为万世开太平。
温馨提示:如果使用电脑查看图片不清晰,可以使用手机打开文章单击文中的图片放大查看高清原图。

Hadoop_SC
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CDH开启Kerberos+Sentry权限控制-实施配置指南
12-02
CDH开启Kerberos+Sentry权限控制-实施配置指南,完整的详细教程
CDH 5.2Impala认证集成LDAP和Kerberos
a118170653的专栏
02-03 2081
这是一篇翻译的文章,原文为 New in CDH 5.2: Impala Authentication with LDAP and Kerberos。由于翻译水平有限,难免会一些翻译不准确的地方,欢迎指正! Impala 认证现在可以通过 LDAP 和 Kerberos 联合使用来解决。下文来解释为什么和怎样解决。 Impala,是基于 Apache Hadoop 的一个开源的
0420-如何为CDH集成Active DirectoryKerberos认证
Hadoop_SC的博客
03-07 637
温馨提示:如果使用电脑查看片不清晰,可以使用手机打开文章单击文片放大查看高清原。 Fayson的github: https://github.com/fayson/cdhproject 提示:代码块部分可以左右滑动查看噢 1.文档编写目的 在前面Fayson介绍了多篇关于Window Server上安装的Active Directory服务,由于Active Directory服务...
超简单的CDH6部署和体验(单机),java高级面试题及答案
最新发布
m0_60388149的博客
03-31 763
针对以上面试题,小编已经把面试题+答案整理好了。
hadoop 添加kerberos认证
hua840812的专栏
03-21 3939
参考Cloudera官方文档:Configuring Hadoop Security in CDH3 一、部署无kerberos认证的Hadoop环境 参考另一篇笔记:hadoop集群部署 或者按照Cloudera的官方文档:CDH3 Installation Guide. 二、环境说明 1、主机名 之前部署hadoop集群时,没有使
cdh5.7权限测试示例
weixin_30278311的博客
08-07 189
本文旨在展示CDH基于Kerberos身份认证和基于Sentry的权限控制功能的测试示例。 1. 准备测试数据 1 2 3 4 5 6 cat /tmp/events.csv 10.1.2.3,US,android,createNote 10.200.88.99,FR,windows,updateNote 10.1.2.3,US,and...
CDH5.X安装配置kerberos认证过程
热门推荐
wulantian的专栏
01-14 1万+
//CDH安装配置kerberos认证过程---coco # by coco # 2014-12-23 CDH-5.2.0-1.cdh5.2.0安装成功,已经运行了几个月了。现在把确实的认证安装配置上。下面是详细的安装配置过程,已经过程遇到的问题解决办法。 1. 背景 在Hadoop1.0.0或者CDH3 本之前, hadoop并不存在安全认证一说。默认集群内所有的节
CDH_5.15.1开启kerberos认证.docx
04-17
CDH5.15.1开启kerberos,开启kerberos之后kafka的配置及命令操作。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。...
hue-3.7.0-cdh5.3.6
06-26
这个是hue-3.7.0-cdh5.3.6本压缩包.
0433-Kerberos环境下Impala Daemon在CDH5.15KRPC端口27000异常分析
01-20
CDH集群升级至5.15并且启用Kerberos的情况下,在命令行使用impala-shell执行SQL操作会报如下异常: [cdh01.fayson.com:25003] > select count(*) from ods_user; Query: select count(*) from ods_user Query ...
hive2.1.1-cdh6.3.2
05-08
hive JDBC jar包全家桶。由于项目使用,此jar包从国外下载费了好大劲,现分享给大家。 cdh6.3.2本的
CDH集群开启Kerberos安全认证
sharkdoodoo
07-23 8907
在ClouderaManager通过向导开启,kerberos启用可以通过对hadoop集群的各个服务的xml配置文件进行配置开启管理,但是由于需要配置的xml很多,还需要生成各个服务器的keytab文件,配置相当于繁琐,就算是老司机也很容易出错,而在在CM管理kerberos启用,可以通过可视化的方式进行管理开启,非常方便,cm帮你生成和部署各个服务的keytab文件,减少错误的发生在进行向导
CDH集群关闭Kerberos验证
sharkdoodoo
04-24 1370
说明:在CDH开启Kerberos(参见我之前写的CDH集群开启Kerberos安全认证 )之后可能会由于某些情况再次关闭,在关闭的需要注意一些地方,具体如下 HBase关闭: 修改hbase.security.authentication为simple 取消勾选hbase.security.authorization HDFS关闭和修改配置: 修改hadoop.security...
CentOS6.5安装Kerberos认证KDC服务
都是浮云
02-09 4810
一、 背景介绍 大数据平台生产环境开启了Kerberos认证,测试环境没有开启Kerberos认证,导致在开发离线变量计算平台的时候没法在测试环境调试Kerberos认证相关的内容,只能在生产环境上去调试,导致离线变量平台1.0.1.1、1.0.2本上线的时候由于调试Kerberos的原因上线搞了很久。 在生产环境上调试代码是非常不合理的,所以决定把测试环境Kerberos认证搭建起来,...
CDH启用Kerberos认证的情况下安装及使用Sentry
weixin_45392855的博客
06-04 234
1.文档编写目的 本文档主要讲述如何在启用KerberosCDH集群安装配置及使用Sentry 内容概述 如何安装Sentry Hive/HDFS服务如何与Sentry集成 Sentry测试 测试环境 1.操作系统为Centos 7.9 CM和CDH本为6.2 采用root用户操作 前置条件 1.CDH集群运行正常 集群已经启用Kerberos且正常使用 2.Sentry安装 1.在mysql创建sentry数据库 建表语句: create database sentry de
CDH启用kerberos 高可用运维实战
涤生大数据
11-25 1218
​在前的文章介绍过《CDH集成kerberos迁移实战》,由此也考虑到kerberos单节点可能引发的线上事故,所有考虑到把线上kerberos服务启用高可用。 ​
OpenTSDB搭建过程(CDH环境,kerberos认证
qq_24269969的博客
04-07 1171
写在最前 #####为什么要写这篇文章: 目前在国内关于OpenTSDB的文章较少,在下因为最近工作需要需要搭建OpenTSDB找到一些文章,但是关于CDH环境的却很少,搭建的时候也遇到不少坑,所以为了避免后面来者避开这些坑,便想起去写这篇文章,好了废话不多说直接上干货。 0.环境说明 安装OpenTSDB需要依赖HBASE,HDFS,zookeeper环境。由于本文主要介绍OpenTSDB,所以...
cdh查看namenode的内存设置_056104如何将CDH集成的KDC迁移至FreeIPA的Kerberos认证
weixin_30423863的博客
01-07 258
温馨提示:如果使用电脑查看片不清晰,可以使用手机打开文章单击文片放大查看高清原。Fayson的github:https://github.com/fayson/cdhproject提示:代码块部分可以左右滑动查看噢1文档编写目的前面Fayson介绍了《0558-01-如何在Redhat7上安装FreeIPA》和《0559-02-如何在Redhat7上安装FreeIPA的客户端》...
如何在CDH5.12集群启用Kerberos认证
小陌成长之路
02-08 1万+
CDH启用kerberos 参考链接: https://www.cloudera.com/documentation/enterprise/5-8-x/topics/security.html
cdh集成Kerberos
08-25
CDH集成Kerberos是相对容易的,你需要先了解Kerberos的基本概念,然后准备一个可用的Kerberos服务器。在CDH的集群管理界面选择启用Kerberos,然后按照向导的步骤进行配置即可。集成完成后,你需要进行Kerberos...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值