CDH集群离线搭建(适用内网)——Kerberos安装配置及使用⑨

已于 2024-04-29 16:47:55 修改
阅读量1k 收藏 10
点赞数 23
分类专栏: Hadoop 文章标签: hadoop 大数据 分布式
于 2024-03-13 13:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/M_red/article/details/136628860
版权

集群权限集成

1.Kerberos安装

1.1 在主节点cloud01安装

#在主节点cloud01安装
yum -y install krb5-server  krb5-workstation   #krb5-auth-dialog

1.2 全部节点操作

#全部节点操作
yum -y install  krb5-libs  krb5-workstation    #krb5-auth-dialog

1.3 所有节点安装sasl工具

#所有节点安装sasl工具,impala启用kerberos时需要sasl工具,如已安装请忽略
yum -y install cyrus-sasl-plain cyrus-sasl-devel cyrus-sasl-gssapi cyrus-sasl-md5

1.4 修改krb5.conf文件

#进入文件
vim /etc/krb5.conf
#注释掉如下行,打开会引起错误:[Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)]

# default_ccache_name = KEYRING:persistent:%{uid}
#装在主节点
cp -n /etc/krb5.conf /etc/krb5.conf.bak && \
sed -i 's/#//g' /etc/krb5.conf && \
sed -i 's/EXAMPLE.COM/HADOOP.COM/g' /etc/krb5.conf && \
sed -i 's/kerberos.example.com/cloud01/g' /etc/krb5.conf && \
sed -i 's/example.com/cloud01/g' /etc/krb5.conf && \
sed -i 's/ default_ccache_name/# default_ccache_name/g' /etc/krb5.conf && \
sed -i 's/ Configuration/# Configuration/g' /etc/krb5.conf

# 查看修改前和修改后的文件对比
diff /etc/krb5.conf.bak /etc/krb5.conf

1.5 修改/var/kerberos/krb5kdc/kdc.conf文件

修改EXAMPLE.COM为自己公司的域名

cp -n /var/kerberos/krb5kdc/kdc.conf /var/kerberos/krb5kdc/kdc.conf.bak && \
sed -i 's/EXAMPLE.COM/HADOOP.COM/g' /var/kerberos/krb5kdc/kdc.conf

1.6 查看修改前和修改后的文件对比

# 查看修改前和修改后的文件对比
diff /var/kerberos/krb5kdc/kdc.conf.bak /var/kerberos/krb5kdc/kdc.conf

#并在文件中添加一下内容
max_renewable_life = 7d 0h 0m 0s

在这里插入图片描述

1.7 修改/var/kerberos/krb5kdc/kadm5.acl文件,修改EXAMPLE.COM为自己公司的域名。

cp -n /var/kerberos/krb5kdc/kadm5.acl /var/kerberos/krb5kdc/kadm5.acl.bak && \
sed -i 's/EXAMPLE.COM/HADOOP.COM/g' /var/kerberos/krb5kdc/kadm5.acl
diff /var/kerberos/krb5kdc/kadm5.acl.bak /var/kerberos/krb5kdc/kadm5.acl

1.8 配置kerberos服务

#配置kerberos服务
#在cloud01节点上,生成kerberos数据库,设置密码为:12345678
/usr/sbin/kdb5_util create -s

1.9 开启kerberos管理界面

#为cdh创建cloudera-scm/admin用户,设置密码为:12345678
# 开启kerberos管理界面
kadmin.local
   # 添加认证主体, 主体名: cloudera-scm/admin  密码: 12345678
   addprinc cloudera-scm/admin

   12345678

   12345678
   #查看用户
   listprincs
   # 退出kerberos管理界面
   exit

1.10 查看数据库文件

#查看数据库文件principal(自动生成的)
ll /var/kerberos/krb5kdc/

1.11 修改参数

#修改krbtgt/HADOOP.COM@HADOOP.COM的Maximum renewable life参数为90天(其默认值为0天),解决在CDH启用kerberos时,Hue角色Kerberos Ticket Renewer启动异常问题

kadmin.local

   modprinc -maxrenewlife 90day krbtgt/HADOOP.COM@HADOOP.COM

   getprinc krbtgt/HADOOP.COM@HADOOP.COM

   exit

1.12 启动kerberos服务

#启动kerberos服务
systemctl start krb5kdc
systemctl start kadmin
systemctl status krb5kdc
systemctl status kadmin

1.13 从节点安装kerberos客户端软件

#从节点安装kerberos客户端软件
yum -y install krb5-libs krb5-workstation

1.14 从主节点复制配置文件到从节点

#从主节点复制配置文件到从节点
sh scp_all.sh /etc/krb5.conf /etc/
sh ssh_all.sh cat /etc/krb5.conf

1.15 kerberos认证测试

#kerberos认证测试
#客户端执行
#获取票据
kinit cloudera-scm/admin
   12345678
#查看票据
klist
#销毁票据
kdestroy

2.集成kerberos

在这里插入图片描述

全选

在这里插入图片描述

页面2,更改以下参数

KDC Type: MIT KDC

Kerberos Security Realm: HADOOP.COM

KDC Server Host: cloud01

KDC Admin Server Host: cloud01

Kerberos Encryption Types: rc4-hmac

Maximum Renewable Life for Principals: 5

在这里插入图片描述

页面3,不要勾选该项(Manage krb5.conf through Cloudera Manager),直接继续

在这里插入图片描述

页面4,cloudera-scm/admin账号、密码

cloudera-scm/admin

12345678

在这里插入图片描述

hdfs启用Kerberos

在这里插入图片描述

角色缺少 Kerberos Keytab。请运行“管理”->“安全”页面上的“Kerberos 凭据”选项卡中的“生成缺失凭据”命令。

在这里插入图片描述

停止hdfs和yarn,重新生成

在这里插入图片描述

3.kerberos使用

1. 进入管理界面

kadmin.local

2. 创建principal(认证主体)

使用管理员创建认证主体,即principal,principal由主体名@域名组成,域名一般都设置为公司的域名。

# 语法格式:
# addprinc -pw 密码 主体名@域名
# 创建hdfs认证主体
addprinc -pw hdfs hdfs@HADOOP.COM
# 创建hive 认证主体
addprinc -pw hive hive@HADOOP.COM
# 创建hbase 认证主体
addprinc -pw hbase hbase@HADOOP.COM

3. 生成keytab凭证

#得在根目录下有data目录
mkdir /data1
# 语法格式:
# xst -norandkey -k 主体文件生成位置 主体名

# 生成hdfs的keytab
xst -norandkey -k /data/hdfs.keytab hdfs
# 生成hive的keytab
xst -norandkey -k /data/hive.keytab hive
# 生成hbase的keytab
xst -norandkey -k /data/hbase.keytab hbase

exit


*****************************************************************************************
# 删除主体(该操作需要管理员用户才能执行,需要进入kadmin.local界面下操作)
kadmin.local
	delprinc '主体名'
#策略
add_policy policy1
modify_principal -policy policy1 hdfs@HADOOP.COM

addprinc -pw hdfs hdfs@HADOOP.COM
*****************************************************************************************

4. 认证方式

4.1 普通认证(用主体加密码的方式认证)
# 用主体加密码的方式认证
kinit hdfs
# 输入密码,即创建主体principal时-pw设置的密码
password
# 查看当前票据
klist
4.2keytab认证 (适合生产环境使用的方式认证)
# 适合生产环境使用
# 使用keytab认证 参数kt意义为keytab文件路径 后面接要认证的主体名,keytab文件要和主体名一致
kinit -kt /data/hdfs.keytab hdfs

# 查看当前票据
klist

Kerberos配置完成

上一篇
CDH集群离线搭建(适用内网)——impala高可用配置⑧

小戈爱学习
关注
  • 23
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CDH集群手动安装Kerberos完整流程
11-13
本文档详细简绍了,如何手动给CDH集群安装Kerberos服务的详细步骤,避免大家采坑,亲自尝试过的,希望对大家有帮助,关键词:Kerberos CDH Kerberos CDH集群 Kerberos安装 CDH集群安装Kerberos
CDH6.3.2集成Kerberos
liufang_imei的博客
09-03 605
参考:https://docs.cloudera.com/documentation/enterprise/6/6.3/topics/cdh_sg_browser_access_kerberos_protected_url.html#topic_6_2__section_vj5_gwv_ls。禁用Kerberos,由于没有按钮可以直接操作,需要我们手动一个个修改开启了Kerberos的组件的配置。1.连接你的集群krb5kdc和kadmin服务所在的机器,复制/etc/krb5.conf中的配置
kerberoshadoop集群使用keytab认证的逻辑
lisacumt的专栏
03-08 1189
hadoop集群使用keytab认证的逻辑
CDH kerberos部署
Kng_007的博客
06-15 756
Kerberos协议通过强大密钥系统为Server(服务端)和Client(客户端)应用程序之间提供强大的通信加密和认证服务。在自建CDH添加kerberos服务
Kerberos从入门到精通以及案例实操系列(一)
prefect_start的博客
06-05 6103
整个kerberos认证的过程较为复杂,三次通信中都使用了密钥,且密钥的种类一直在变化,并且为了防止网络拦截密钥,这些密钥都是临时生成的Session Key,即他们只在一次Session会话中起作用,即使密钥被劫持,等到密钥被破解可能这次会话都早已结束,这为整个kerberos认证过程保证了较高的安全性。kerberos认证的整体流图kerberos认证的时序图本地登录(无需认证)远程登录(需进行主体认证,认证操作见下文)退出输入:exit2. 创建Kerberos主体。
kerberos离线安装,HA,以及hadoop,hive,hbase,zookeeper等服务开启kerberos
weixin_42728895的博客
02-24 1071
参考链接: http://121.196.149.225/2020/12/10/Kerberos%E8%AE%A4%E8%AF%81/#more https://www.jb51.net/article/94875.htm https://www.cnblogs.com/bainianminguo/p/12548334.html Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证 Kerberos认证 Kerberos是一种计算机网络授权协议,用来在非安全网络中
CDH6安装kerberos(一)kerberos概念理解
独孤飞磊
11-30 1603
一. Kerberos概述 Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。 Hadoop使用Kerberos作为用户和服务的强身份验证和身份传播的基础。Kerberos是一种计算机网络认证协议,它允许某实体在非安
快速搭建kerberos认证的HDFS环境
qq_39522120的博客
03-12 949
快速搭建kerberos认证的HDFS环境
cdh6.3.1离线完整版(百度网盘下载)
08-04
CDH安装
CDH6.3.2离线安装部署下载
02-16
1、完整的CDH6.3.2离线安装包,包含CM6.3.1 2、离线安装部署文档
CDH5离线安装配置指南
08-23
CDH (Cloudera's Distribution, including ...Cloudera Manager则是为了便于在集群中进行Hadoop大数据处理相关的服务安装和监控管理的组件,对集群中主机、Hadoop、Hive、Spark等服务的安装配置管理做了极大简化。
CDH5.15.1离线安装文档
12-23
本指南包含了离线安装CDH(Cloudera Data Hub)5.15.1的所有必要步骤,包括环境配置、软件准备、系统调整和集群构建等环节。读者需对Linux操作系统有一定基础,同时了解大数据处理的基本概念。 1.2 **关于CDH和...
CDH 角色缺少kerberos kertab
小海的专栏
11-13 407
角色缺少kerberos kertab 可能需要重新导入凭据。 管理》安全》kerberos凭据》导入kerberos Acount Manager 凭据
Kerberos技术实践V1.0
super_chenzhou
08-07 727
Kerberos技术实践
CDH数仓项目(三) —— Kerberos安全认证和Sentry权限管理
qq_53058639的博客
01-31 1085
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。cdh版本的hadoop在对数据安全上的处理通常采用Kerberos+Sentry的结构。kerberos主要负责平台用户的用户认证,sentry则负责数据的权限管理。(1)取消HiveServer2用户模拟。
Kerberos安装使用
u011250186的博客
11-25 3746
Kerberos安装使用
Kerberos简介、安装及与其它服务的集成和使用
Yore - Home
04-01 2561
本文主要介绍了 Kerberos大数据环境中的搭建使用,主要以 CDH 平台环境为例。同时又介绍了如何使用 Beeline 将本地SQL 脚本远程提交的Kerberos认证的 Hive中执行,包括批量脚本执行。最后有介绍了 DataX 离线同步数据到 Kerberos 认证的 HDFS时的配置及注意点。
kerberos使用详解
snail_bing的博客
06-21 5825
准备环境 准备三台虚拟机,其中一台安装kerberos的KDC,另外两台安装kerberos的客户端,需要保证三台机器的主机名可以被解析。 主机名 ip 角色 hadoop01 192.168.24.100 KDC hadoop02 192.168.24.101 Client hadoop03 192.168.24.102 CLient 安装Kerberos KDC 在hadoop01上安装运行KDC,即安装krb5-server、krb5-libs和krb5-workstati
物联网架构之Hadoop
最新发布
moluxiangfenglo的博客
07-23 873
Hadoop的体系结构设计旨在处理和分析大数据集,通过分布式存储(HDFS)、资源管理(YARN)、并行计算(MapReduce)等核心组件,提供了一种可靠、可扩展的大数据解决方案。其生态系统的丰富性和灵活性使得Hadoop能够适应不同类型和规模的数据处理需求。hadoop的核心结构Hadoop分布式文件系统,用于存储大规模数据集。主要包括一个NameNode(主节点)和多个DataNode(从节点)。
使用CDH Manager 安装Kerberos服务——之初始化失败
05-24
如果在使用CDH Manager安装Kerberos服务时,初始化失败,可能是由于以下原因: 1. 主机名不正确:请确保您的主机名正确,并且在所有节点上正确配置了/etc/hosts文件。 2. 时间不同步:Kerberos需要确保所有节点的时间同步,否则会导致认证失败。请使用ntp服务同步所有节点的时间。 3. 安全端口被占用:请确保您的节点上没有其他进程正在使用Kerberos默认端口(88、749、464等)。 4. 网络故障:请确保所有节点之间的网络连接正常,可以互相ping通。 您可以通过查看日志文件来查找问题所在。在CDH Manager中,可以在“Kerberos”服务的“进程”选项卡中找到相关的日志信息。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值