Hadoop集群集成kerberos

最新推荐文章于 2024-07-11 00:29:13 发布
最新推荐文章于 2024-07-11 00:29:13 发布
阅读量3.5k 收藏 10
点赞数 2
分类专栏: hdfs学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SeoHyunChyL/article/details/52704242
版权

上周周会领导让研究kerberos,要在我们的大集群中使用,研究任务指派给了我。这周的话也是用测试集群大概的做了一遍。目前为止的研究还比较粗糙,网上众多资料都是CDH的集群,而我们的集群是不是用的CDH,所以在集成kerberos的过程中有一些不同之处。

测试环境是由5台机器搭建的集群,hadoop版本是2.7.2。5台机器host分别是
rm1、rm2、test-nn1、test-nn2、10-140-60-50。选取rm1为kdc服务器。

1、安装软件
rm1上安装krb5、krb5-server和krb5-client
命令行执行 : yum install krb5-server krb5-libs krb5-auth-dialog krb5-workstation -y
其它4台机器安装krb5-level、krb5-workstation
4台机器命令行分别执行 : yum install krb5-devel krb5-workstation -y

2、配置文件修改
kdc服务器涉及到的配置文件有3个
/etc/krb5.conf 、/var/kerberos/krb5kdc/kdc.conf 、/var/kerberos/krb5kdc/kadm5.acl
krb5.conf文件内容如下:
这里写图片描述

其中的ticket_lifetime和renew_lifetime是比较重要的参数,这两个参数都是时间参数,前者表示的是访问凭证的有效时间,默认是24小时,这里我已经做了修改,修改成了10000天。因为有效期过期后,再在节点上执行hadoop fs -ls类似的命令都会失效,凭证默认存放在/tmp下,文件格式为krb5cc_xxx(xxx是用户代码,即/etc/passwd中用户对应的代码)。如何修改下文会介绍。
另外可以修改的就是[libdefaults]中的default_realm参数,图中为EXAMPLE.COM,这里可以任意命名字符串,大写,以.COM结尾。[realms]中的参数也需要对应修改,前面介绍了我选择的是rm1作为kdc服务器。
配置完后将该文件分发到其它所有节点的/etc下。

kdc.conf文件内容如下:
这里写图片描述
这里还是配置了max_life和max_renewlife参数的值为10000天,其它都是默认值。

kadm5.acl文件可以不做改动。

集群每个节点安装JCE,需要安装与当前java版本相同的JCE。我使用的是java1.7的,下载链接如下:
http://www.oracle.com/technetwork/java/embedded/embedded-se/downloads/jce-7-download-432124.html
下载完后得到的压缩包解压,将其中的local_policy.jar以及US_export_policy.jar复制到JAVA_HOME/jre/lib/security下。

3、创建数据库
软件安装完毕后,需要在rm1上运行初始化数据库命令,命令行执行:
kdb5_util create -r JAVACHEN.COM -s。这里要根据krb5.conf中default-realm中对应的值。运行完毕后在/var/kerberos/krb5kdc/下生成principal数据库。

4、启动服务
在rm1命令行上执行:
service krb5kdc start
service kadmin start

5、创建principals
在rm1命令行上键入kadmin.local后,而后键入

addprinc -randkey hadoop/rm1@EXAMPLE.COM(我这里配置文件中的是EXAMPLE.COM)
addprinc -randkey hadoop/rm2@EXAMPLE.COM
addprinc -randkey hadoop/test-nn1@EXAMPLE.COM
addprinc -randkey hadoop/test-nn2@EXAMPLE.COM
addprinc -randkey hadoop/10-140-60-50@EXAMPLE.COM
addprinc -randkey HTTP/rm1@EXAMPLE.COM
addprinc -randkey HTTP/rm2@EXAMPLE.COM
addprinc -randkey HTTP/test-nn1@EXAMPLE.COM
addprinc -randkey HTTP/test-nn2@EXAMPLE.COM
addprinc -randkey HTTP/10-140-60-50@EXAMPLE.COM

因为集群所有的服务都是以hadoop用户启动的,所以仅需要创建hadoop的principals。CDH集群则需要hdfs、yarn、mapred3个用户

6、创建keytab文件
rm1命令行执行:

kadmin.local -q "xst  -k hadoop.keytab  hadoop/rm1@EXAMPLE.COM"
kadmin.local -q "xst  -k hadoop.keytab  hadoop/rm2@EXAMPLE.COM"
kadmin.local -q "xst  -k hadoop.keytab  hadoop/test-nn1@EXAMPLE.COM"
kadmin.local -q "xst  -k hadoop.keytab  hadoop/test-nn2@EXAMPLE.COM"
kadmin.local -q "xst  -k hadoop.keytab  hadoop/10-140-60-50@EXAMPLE.COM"
kadmin.local -q "xst  -k HTTP.keytab  HTTP/rm1@EXAMPLE.COM"
kadmin.local -q "xst  -k HTTP.keytab  HTTP/rm2@EXAMPLE.COM"
kadmin.local -q "xst  -k HTTP.keytab  HTTP/test-nn1@EXAMPLE.COM"
kadmin.local -q "xst  -k HTTP.keytab  HTTP/test-nn2@EXAMPLE.COM"
kadmin.local -q "xst  -k HTTP.keytab  HTTP/10-140-60-50@EXAMPLE.COM"

这样会在/var/kerberos/krb5kdc目录下生成hadoop.keytab和HTTP.keytab文件。
继续rm1命令行键入 ktutil
继而键入 rkt hadoop.keytab 回车
再次键入 rkt HTTP.keyt

最低0.47元/天 解锁文章
SeoHyunChyL
关注
专栏目录
hadoophadoop 安装 kerberos
九师兄
04-23 2487
1.概述 本次是视频:【大数据基础】快速掌握Hadoop集成Kerberos安全技术 笔记。 2.环境信息 2.1 版本信息 本次课程基于使用的软件环境如下: 。CDH5.14.4 。hadoop2.6.0-cdh5.14.4 。hive1.1.1-cdh5.14.4 CentOS 6.9 x64操作系统 JDK 1.8 and jdk1.7(for maven) apache-maven-3.0.5 Kerberos 使用在线yum库提供的最新版本 除操作系统外,所有需要用到的安装包,在课件内都有提.
Centos7+Hadoop3.3.4+KDC1.15集成认证
snipercai的博客
04-24 1109
Centos7+Hadoop3.3.4+KDC1.15集成认证
Hadoop 配置 Kerberos 认证_hadoop kerberos认证
2401_84185182的博客
04-27 518
rw-r–r–. 1 root root 1298 10月 5 17:14 bd_ca_cert。-rw-r–r–. 1 root root 1834 10月 5 17:14 bd_ca_key。
03、Kerberos安全认证之配置和访问Kerberos安全认证的Hadoop集群学习笔记
最新发布
每个人都是独一无二的,把握好自己的节奏,跟着自己的心走。
07-11 1114
03、Kerberos安全认证之配置和访问Kerberos安全认证的Hadoop集群学习笔记
Hadoop Kerberos 集成
hyunbar的博客
02-10 2911
大数据技术AI Flink/Spark/Hadoop/数仓,数据分析、面试,源码解读等干货学习资料 106篇原创内容 ...
Hadoop集成Kerberos安全服务器
qq_43541182的博客
03-16 1481
公司里要给Hadoop配置Kerberos,记录一下过程中遇到的问题。
Hadoop部署和配置Kerberos安全认证
05-17
Hadoop部署和配置Kerberos安全认证全套流程。已经过实测并部署与生产环境。
hadoop快速集成kerberos认证
01-13
Hadoop作为一个分布式计算框架,为了保障数据的安全性,常常需要集成Kerberos认证系统。Kerberos是一种网络认证协议,它提供了强大的身份验证服务,确保只有授权的用户和服务可以访问资源。本压缩包文件包含了实现...
Hadoop集群启用Kerberos认证
05-22
Hadoop集群的所有节点上修改hadoop-env.sh文件,设置HADOOP_OPTS环境变量,将HadoopKerberos认证集成。 4. 生成Keytab文件 在KDC服务器上为Hadoop集群创建一个Keytab文件,用于在Hadoop集群的每个节点上进行...
hadoop HA+kerberos HA集群搭建
anxia5150的博客
09-05 643
IP、主机名规划 hadoop集群规划: hostname IP hadoop 备注 hadoop1 110.185.225.158 NameNode,ResourceManager,DFSZKFailoverController,JournalNode hadoop2 110.185.225.166 NameNode,Reso...
资料-Hadoop集成Kerberos安全技术
02-21
**Hadoop集成Kerberos安全技术** 在大数据领域,安全是至关重要的,特别是当涉及到敏感数据的处理和存储时。Hadoop,作为一个分布式计算框架,提供了处理海量数据的能力,但同时也需要强大的安全保障来确保数据不被...
Hadoop安全之Kerberos
S1124654的博客
01-30 3686
Hadoop安全之Kerberos
hadoop集成kerberos
帆了个帆的专栏
12-31 978
节点 ip 进程 user master 192.168.1.115 NameNode root slave1 192.168.1.116 DataNode root kdcserver 192.168.1.118 kdc,kadmin root 在kdcserver节点配置kerberos安装http://note.youdao.com/n
hadoop配置kerberos
记录工作所遇问题及个人概念理解
10-11 946
服务器配置kerberos服务 注意一下配置@后面的域名为kerberos配置域名,文件路径以实际为准 hdfs-site.xml /usr/local/service/hadoop/etc/hadoop/hdfs-site.xml "dfs.namenode.kerberos.principal", "hadoop/_HOST@" + realm(kerberos域名) "dfs.namenode.keytab.file", "/etc/security/keytab/emr.keytab", "dfs.
Hadoop Kerberos安全机制介绍
csr_hema的专栏
11-13 702
1. 背景 在Hadoop1.0.0或者CDH3 版本之前, hadoop并不存在安全认证一说。默认集群内所有的节点都是可靠的,值得信赖的。用户与HDFS或者M/R进行交互时并不需要进行验证。导致存在恶意用户伪装成真正的用户或者服务器入侵到hadoop集群上,恶意的提交作业,修改JobTracker状态,篡改HDFS上的数据,伪装成NameNode 或者TaskTracker接受任务等。 尽管在
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值