0686-6.2.0-如何为CDH集群的JDK安装JCE策略文件

最新推荐文章于 2022-09-26 15:23:48 发布
最新推荐文章于 2022-09-26 15:23:48 发布
阅读量605 收藏
点赞数
文章标签: cdh jdk jce
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hadoop_SC/article/details/99866947
版权

Fayson的github: https://github.com/fayson/cdhproject

推荐关注微信公众号:“Hadoop实操”,ID:gh_c4c535955d0f,或者扫描文末二维码。

1 文档编写目的

默认情况下, CentOS和RedHat5.5或更高的版本中,对Kerberos 票证使用AES-256加密,因此必须在集群所有节点的JDK中安装Java Cryptography Extension(JCE)无限制强度加密策略文件。在安装JCE文件的Kerberos集群中,服务启动时会报“java.security.InvalidKeyException: Illegal key size”异常。本篇文章Fayson主要介绍使用不同方式安装JCE加密策略文件以及如何禁用Kerberos的AES-256加密。

注意:使用JDK 1.8.0_161或更高版本时,不需要再安装JCE Policy File。JDK 1.8.0_161默认启用无限强度加密。

测试环境
1.Redhat7.2
2.采用root用户操作
3.CM/CDH6.2.0

2 手动安装JCE Policy File

1.确认当前CDH集群使用的JDK路径

可以使用“ps -ef”命令查看启动的java服务使用的JDK版本的路径

[root@cdh01 ~]# ps -ef |grep java

在这里插入图片描述

从截图中可以看到当前使用的JDK路径为/usr/java/jdk1.8.0_181-cloudera
也可以进入CM主页→主机→主机配置,通过搜索java查看集群配置的JDK目录,如果未配置则说明集群使用CM自带的JDK版本。

在这里插入图片描述
在这里插入图片描述
2.在Oracle官网下载JCE安装包,地址如下

http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html

在这里插入图片描述
3.将下载的jce_policy-8.zip文件上传集群的任意节点并解压

[root@cdh01 ~]# unzip jce_policy-8.zip

在这里插入图片描述
4.把UnlimitedJCEPolicyJDK8目录下的所有jar包拷贝至集群所有节点的${JAVA_HOME}/jre/lib/security目录下

[root@cdh01 UnlimitedJCEPolicyJDK8]# cp *.jar /usr/java/jdk1.8.0_181-cloudera/jre/lib/security

在这里插入图片描述

[root@cdh01 UnlimitedJCEPolicyJDK8]# scp *.jar cdh02.hadoop.com:/usr/java/jdk1.8.0_181-cloudera/jre/lib/security
[root@cdh01 UnlimitedJCEPolicyJDK8]# scp *.jar cdh03.hadoop.com:/usr/java/jdk1.8.0_181-cloudera/jre/lib/security

在这里插入图片描述
至此完成集群所有节点JDK的JCE加密策略文件。

3 使用CM安装JCE Policy File

1.登陆CM,在浏览器输入http://192.168.0.204:7180/cmf/upgrade-wizard/wizard进入升级界面

在这里插入图片描述
在这里插入图片描述
2.完成CM私有源配置后,点击“继续”,勾选安装JDK和Java无限制强度界面策略文件

在这里插入图片描述
3.点击“继续”,一直继续直到提示完成升级

在这里插入图片描述
如上图所示,通过Cloudera Manager引导界面的方式安装JCE加密策略文件就完成了。

4.由于通过CM安装JCE是需要勾选了安装JDK才能复选JCE安装。这里我们把当前安装的Oracle JDK迁移到Open JDK,再通过CM安装JCE来验证JCE是安装到了我自定义的Open JDK中还是安装到了Oracle JDK中。

现在把Oracle JDK迁移到Open JDK,过程省略。迁移后如下图

在这里插入图片描述
将集群所有节点的OpenJDK安装目录jre/lib/security下,可以看到JCE安装包都存在,手动把所有节点上的JCE安装包删除。

在这里插入图片描述
所有节点的Open JDK的security目录下的JCE安装包删除后如下图

在这里插入图片描述
同时也删除/usr/java/jdk1.8.0_181-cloudera/jre/lib/security目录下的JCE策略文件,是CM安装Oracle JDK的默认目录,删除后如下图
在这里插入图片描述
再次通过CM的引导界面安装JDK的JCE策略文件,安装完成后,发现Oracle JDK和Open JDK的${JAVA_HOME}/jre/lib/security目录下都没有JCE的策略文件,因为这两个版本的JDK都是默认启用JCE加密的。

这里我继续创建了一个Kerberos账号ace1,可以看到是用的AES-256加密,且集群的服务是可以正常运行。

在这里插入图片描述
5.上面的验证并没有将JCE策略文件安装到我们预想的目录下,接着在CDH5.16.2环境下再次测试

删除集群所有节点JDK里面的JCE策略文件,删除后重启CMS出现异常“Cannot locate policy or framework files!”
在这里插入图片描述
在这里插入图片描述
当前CDH5集群只有这一个JDK安装包

在这里插入图片描述
再通过CM引导界面为JDK安装JCE
在这里插入图片描述
在这里插入图片描述
安装完成后,可以看到集群所有节点都新安装了Oracle JDK 1.7
在这里插入图片描述
查看/usr/java/jdk1.8.0_144-cloudera/jre/lib/security目录,依然是跟安装前一样,并未将JCE策略文件安装到指定的JDK8的相应目录下。

在这里插入图片描述
根据上面的测试,可以确认通过CM的方式来安装JCE的话,JCE不会安装到当前集群使用的JDK目录下,而是安装在同时勾选的JDK安装目录下(即CM默认自带的JDK目录下)。

4 禁用Kerberos的AES-256加密

1.使用klist -e查看当前Kerberos账号的加密方式,如下图,可以看到默认使用的是AES-256的加密方式
在这里插入图片描述
2.接下来修改/var/kerberos/krb5kdc/kdc.conf文件将AES-256加密类型删除

[root@cdh01 krb5kdc]# vim /var/kerberos/krb5kdc/kdc.conf

在这里插入图片描述
3.修改完成kdc.conf文件配置后,需要重启kadmin和krb5kdc服务使其生效

[root@cdh01 krb5kdc]# systemctl restart krb5kdc
[root@cdh01 krb5kdc]# systemctl restart kadmin

4.重启完krb5kdc和kadmin服务后,在命令行验证Kerberos账号

kadmin.local:  addprinc enpop1
[root@cdh01 krb5kdc]# kinit enpop1
Password for enpop1@HADOOP.COM: 
[root@cdh01 krb5kdc]# klist -e
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: enpop1@HADOOP.COM

Valid starting       Expires              Service principal
07/03/2019 17:49:56  07/04/2019 17:49:56  krbtgt/HADOOP.COM@HADOOP.COM
        renew until 07/10/2019 17:49:56, Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96

在这里插入图片描述

注意:通过测试发现,修改配置并未生效显示Principal仍然支持AES-256。因为这个配置是数据库生成的时候配置的,导致修改了kdc配置文件后不能及时生效,需要重建KDC数据库。

5.删除KDC数据库的数据文件,通过如下命令重新生成数据库文件,并重启kadmin和krb5kdc服务,再次添加一个Principal账号,可以看到加密方式中已不支持AES-256

[root@hadoop1 ~]# rm -rf /var/Kerberos/krb5kdc/principal*
[root@hadoop1 ~]# kdb5_util create -r MACRO.COM -s
[root@hadoop1 ~]# systemctl restart kadmin
[root@hadoop1 ~]# systemctl restart krb5kdc
kadmin.local:  addprinc admin/admin@MACRO.COM
[root@hadoop1 krb5kdc]# kinit admin/admin
[root@hadoop1 krb5kdc]# klist -e

在这里插入图片描述

5 总结

1.JDK 1.8.0_161之前版本的Java默认的AES最大支持128bit的秘钥,如果使用256bit的秘钥则需要为Java安装JCE Policy File。

2.JDK 1.8.0_161或更高版本的JDK是不需要再安装JCE Policy File,默认已默认启用无限强度加密。

3.可以通过手动或CM引导的方式为CDH集群的JDK安装JCE策略文件。

4.可以使用ps -ef命令查看当前集群使用的JDK路径,也可以通过CM的配置界面查看JDK的HOME目录(CM默认的JDK配置目录为/usr/java/jdk1.xxx-cloudera),C5默认使用JDK7,C6默认使用的JDK8。

5.通过前面的测试发现通过CM的引导界面来为CDH集群的JDK安装JCE策略文件,只能为升级向导中同时安装的JDK(即CM默认自带的JDK)添加JCE策略文件,如果集群使用自定义的JDK版本则需要通过手动的方式安装JCE。

6.要禁用Kerberos的AES-256加密类型时,只是修改kdc.conf配置文件,重启服务后是不会生效的,必须重建KDC数据库。

为天地立心,为生民立命,为往圣继绝学,为万世开太平。

推荐关注Hadoop实操,第一时间,分享更多Hadoop干货,欢迎转发和分享。
在这里插入图片描述

原创文章,欢迎转载,转载请注明:转载自微信公众号Hadoop实操

Hadoop_SC
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jce_policy-8.zip 开启JDK8对高强度加密算法支持
03-12
由于默认JDK8是不能使用PBEWITHMD5ANDTRIPLEDES等高强度加密算法的, 需要把jce_policy-8.zip中的两个jar包拷贝到\lib\security下面, 替换掉两个原有的同名文件,以开启对高强度加密算法支持
统一配置中心——Config
青葱暖咖啡
05-15 1566
文章内容来自 《springcloud微服务架构开发实战》 董超 胡炽维 微服务配置处理好的问题: 1.配置数据和服务实例不放在同一个地方,部署也不应该包含这些配置数据,而是当微服务启动时从一个集中的配置源中进行读取。 2.解决非侵入式配置数据的织入。在每个微服务中不希望通过硬编码的方式从某个配置文件、原程仓库或者数据中读取配置数据,而是最好通过一种更通用的方式让微服务可以快速加载这些配置资源。 3.对配置文件的集中式管理,可以非常方便地对微服务的配置进行统一修改和发布,并能够建立版本机制,以便后续进行配置
JDK8 安装 Java Cryptography Extension(JCE
张伯毅的专栏
03-28 6152
.一 .前言二 .安装2.1. 环境说明2.2. 获取JCE2.3. 安装2.3. 验证 一 .前言 默认情况下, CentOS和RedHat5.5或更高的版本中,对Kerberos 票证使用AES-256加密,因此必须在集群所有节点的JDK安装Java Cryptography Extension(JCE)无限制强度加密策略文件。 注意:使用JDK 1.8.0_161或更高版本时,不需要再安装JCE Policy File。JDK 1.8.0_161默认启用无限强度加密。 二 .安装 2.1. 环境
java 安装 jce_JDK8安装JCE解决加密限制问题
weixin_34005314的博客
02-16 2547
一、背景介绍JDK8的加密策略存在限制版本和无限制版本,随着越来越多的第三方工具只支持 JDK8,业务环境中,发现有些方法会报异常:1、使用AES加解密java.security.InvalidKeyException: Illegal key size2、安全性机制导致的访问https会报错:Received fatal alert: handshake_failure; nested exce...
jce-policy-8
最新发布
03-22
UnlimitedJCEPolicyJDK8是Java加密扩展包(JCE)的无限制策略文件。由于美国出口限制规定,Java加密扩展包目前仅提供56位的密钥长度,而实际安全要求至少要128位。为了解决这个问题,SUN公司通过权限文件做了相应限制(local_policy.jar和US_export_policy.jar),而UnlimitedJCEPolicyJDK8就是用来减少这些限制的相关文件。 具体来说,UnlimitedJCEPolicyJDK8可以帮助Java应用程序使用更长的密钥长度,从而提供更强的加密安全性。在使用过程中,需要将UnlimitedJCEPolicyJDK8目录下的所有jar包拷贝至集群所有节点的${JAVA_HOME}/jre/lib/security目录下,以替换原有的限制文件。 请注意,在处理加密和安全性相关的问题时,应确保遵循最佳实践和安全标准,以防止潜在的安全风险。同时,请确保从可信的来源获取UnlimitedJCEPolicyJDK8文件,以防止恶意软件或篡改的风险。
CDH-6.2.0-1.cdh6.2.0.p0.967373-el7.7z.001
07-01
文件太大分三个压缩包,内容包括:CDH-6.2.0-1.cdh6.2.0.p0.967373-el7.parcel CDH-6.2.0-1.cdh6.2.0.p0.967373-el7.parcel.sha1 manifest.json
CDH-6.2.0-1.cdh6.2.0.p0.967373-el7.7z.003
07-01
文件太大分三个压缩包,内容包括:CDH-6.2.0-1.cdh6.2.0.p0.967373-el7.parcel CDH-6.2.0-1.cdh6.2.0.p0.967373-el7.parcel.sha1 manifest.json
CDH-6.2.0-1.cdh6.2.0.p0.967373-el7.7z.002
07-01
文件太大分三个压缩包,内容包括:CDH-6.2.0-1.cdh6.2.0.p0.967373-el7.parcel CDH-6.2.0-1.cdh6.2.0.p0.967373-el7.parcel.sha1 manifest.json
phoenix-parcel-5.0.0-cdh6.2.0-el7安装
08-03
总结来说,"phoenix-parcel-5.0.0-cdh6.2.0-el7" 是一个强大的工具,为CDH 6.2.0集群提供了对HBase的SQL支持,尤其适用于需要高效查询大量实时数据的应用场景。通过合理的部署和配置,可以极大地提升大数据处理的...
hive-jdbc-2.1.1-cdh6.2.0-standalone.jar
09-24
hive-jdbc-2.1.1-cdh6.2.0(ieda等jdbc链接hive2.1.1);cdh6.2.0安装的hive2.1.1
jce-policy-8.zip
04-18
jce_policy-8.zip用于对信息加密时对数据的长度没有任何限制;现在许多企业都会对java依赖包和源代码进行扫描,以增加系统的安全性,防止信息泄露
JCE_Policy_8
04-02
Java8 正式版的 JCE Policy 8 补丁
jce-policy-8 JDK8安装JCE无限强度
01-14
jce_policy-8.zip jar包,jdk,安全,security,oracle官网下载 稍微麻烦 上传供大家方便下载
oracle_jce_policy-8.zip
02-21
jce_policy-8.zip下载 04-19 AES加密扩展包因为某些国家的进口管制限制,Java发布的运行环境包中的加解密有一定的限制。
jce_policy-8 java jce
01-07
JCE,Java Cryptography Extension 1.8, java jce8 java jce
java.policy下载_jce_policy安装【java密码扩展无限制权限策略文件安装
weixin_31290291的博客
02-13 866
下载与JDK或JRE对应版本的jce文件包,当前机器的jdk为1.8,所以下载jce_policy-8.zip。下载解压后,把jar文件上传到需要安装jce机器上JDK或JRE的security目录下,覆盖源文件即可。JDK:将两个jar文件放到%JDK_HOME%\jre\lib\security下JRE:将两个jar文件放到%JRE_HOME%\lib\security下覆盖之前,记得备份源文...
Linux安装JDK8
小草的博客
09-26 486
Linux安装JDK8
JCE无限制权限策略文件的下载地址
dbh58的专栏
10-27 2655
因为某些国家的进口管制限制,Java发布的运行环境包中的加解密有一定的限制。比如默认不允许256位密钥的AES加解密,解决方法就是修改策略文件。    官方网站提供了JCE无限制权限策略文件的下载:    JDK6的下载地址:    http://www.oracle.com/technetwork/java/javase/downloads/jce-6-download-42924
SpringCloud(八)Spring Cloud Config(2)——配置详解
胆小鬼的技术庄园
12-20 581
上一篇文章中我们实现了一个简单的sring Cloud Config配置中心的简单demo。接下来我们学习下一些在实际场景中可能遇到的一些的复杂情况下的应对方法。我们如何配置Spring Cloud Config Server的git配置信息让其从远程git仓库拉取配置信息更灵活;为了安全,如何为配置属性进行加密;如何配置安全认证,如何让配置的属性刷新呢?我们带着这一系列问题往下看。 下面实例...
vmware-converter-en-6.2.0-8466193
08-17
vmware-converter-en-6.2.0-8466193是VMware Converter的版本号。VMware Converter是一款用于虚拟机迁移和转换的工具。它可以将物理机转换为虚拟机,也可以将虚拟机从一台主机迁移到另一台主机。 该版本的vmware-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值