如何在CDH启用AD的Kerberos

最新推荐文章于 2024-01-31 20:30:23 发布
最新推荐文章于 2024-01-31 20:30:23 发布
阅读量627 收藏 1
点赞数 2
分类专栏: Linux CDH 文章标签: CDH AD Kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cy309173854/article/details/115710626
版权
Linux 同时被 2 个专栏收录
49 篇文章 1 订阅
订阅专栏
CDH
30 篇文章 3 订阅
订阅专栏

一、前置准备

1、基础环境说明

集群操作系统:CentOS 7.4 core

CM版本: 6.2.1

CDH版本:6.2.1

JDK: 1.8.0_151

浏览器版本: ChromeStandalone_56以上、IE10

AD Server:WinServer2012 R2

集群未启用Kerberos

2、创建AD管理账户

创建AD管理账户

        

委派控制所有权限

 

 

二、Kerberos客户端安装及配置

1、集群所有节点安装kerberos客户端

# yum install -y krb5-libs krb5-workstation

 

2、配置kerberos服务

使用vi修改所有节点/etc/krb5.conf

# vi /etc/krb5.conf

includedir /etc/krb5.conf.d/

 

[logging]

 default = FILE:/var/log/krb5libs.log

 kdc = FILE:/var/log/krb5kdc.log

 admin_server = FILE:/var/log/kadmind.log

 

[libdefaults]

 dns_lookup_realm = false

 ticket_lifetime = 24h

 renew_lifetime = 7d

 forwardable = true

 rdns = false

 pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt

 default_realm = BOSCH.COM

# default_ccache_name = KEYRING:persistent:%{uid}

 

[realms]

 BOSCH.COM = {

  kdc = adserver.bosch.com

  admin_server = adserver.bosch.com

 }

 

[domain_realm]

 .bosch.com = BOSCH.COM

 bosch.com = BOSCH.COM

 

三、CDH集群启用Kerberos

1、启用Kerberos

进入Cloudera Manager的“管理”-> “安全”界面->启用Kerberos

 

 

2、检查信息

确保如下列出的所有检查项都已完成

3、配置KDC信息

配置KDC类型、Kerberos 安全领域、KDC Server 主机、KDC Admin Server Host、Active Directory 后缀,点击“继续”

 

4、Krb5配置

跳过Cloudera Manager管理krb5.conf,点击“继续”

 

 

5、输入CM的Kerbers管理员账号

必须和之前AD服务器上创建的管理账号一致,点击“继续”,等待启用Kerberos完成,点击“继续”

 

 

6、Kerberos主体

 

7、启用Kerberos

 

等待生成凭据后集群启动成功(生成凭据时可在AD服务器上查看):

 

至此已成功启用Kerberos。

曹宇飞丶
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CDH开启Kerberos+Sentry权限控制-实施配置指南
12-02
CDH开启Kerberos+Sentry权限控制-实施配置指南,完整的详细教程
cdh 启用kerberos关键
qq_33409840的博客
10-16 72
cdh安装kerberos 需要关键的是配置cloudera-scm的超级管理员用户的。因为cdh的主体的服务是cloudera-scm的 kadmin.local -q “addprinc cloudera-scm/admin”
CDH6.3.2集成Kerberos
liufang_imei的博客
09-03 665
参考:https://docs.cloudera.com/documentation/enterprise/6/6.3/topics/cdh_sg_browser_access_kerberos_protected_url.html#topic_6_2__section_vj5_gwv_ls。禁用Kerberos,由于没有按钮可以直接操作,需要我们手动一个个修改开启了Kerberos的组件的配置。1.连接你的集群krb5kdc和kadmin服务所在的机器,复制/etc/krb5.conf中的配置。
26.集群启用KerberosCDH
大勇若怯任卷舒
07-27 221
##26.1 环境介绍 如何在CDH集群启用及配置Kerberos,需求环境如下: CDH集群运行正常 集群未启用Kerberos MySQL 5.1.73 操作系统:CentOS 6.5 CDH和CM版本为5.12.0 采用root用户进行操作 26.2 服务安装及配置—KDC 将KDC服务安装在Cloudera Manager Server所在服务器上 KDC服务可根据自己需要安装在其他服务器 在Cloudera Manager服务器上安装KDC服务 [root@ip-172-31-
CDH数仓项目(三) —— Kerberos安全认证和Sentry权限管理
最新发布
qq_53058639的博客
01-31 1146
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。cdh版本的hadoop在对数据安全上的处理通常采用Kerberos+Sentry的结构。kerberos主要负责平台用户的用户认证,sentry则负责数据的权限管理。(1)取消HiveServer2用户模拟。
CDH5.15启用kerberos+Sentry手册_v1.0.docx
04-10
本手册将指导您在CentOS 6.5环境下,如何在CDH5.15版本中启用Kerberos与Sentry,以实现全面的数据安全控制。 首先,Kerberos是基于密钥分发中心(KDC)的身份验证协议,它为网络服务提供强大的安全性。在CDH启用...
CDH_5.15.1开启kerberos认证.docx
04-17
本文将详细阐述如何在CDH 5.15.1上配置并启用Kerberos,以及Kafka在Kerberos环境下的配置和操作。 首先,我们需要安装和配置Kerberos分布式认证服务(KDC)。这涉及以下几个步骤: 1. 在服务器上通过`yum install`...
CDH5 配置kerberos全过程.pdf
09-06
然而,启用Kerberos后,任何通信都需要在Kerberos的Key Distribution Center (KDC)中有记录,确保了通信双方的身份合法性。 Kerberos认证协议基于三步交互过程:首先,客户端通过向认证服务器发送请求并获取Ticket-...
CDH集群手动安装Kerberos完整流程
11-13
CDH(Cloudera Data Hub)集群中集成Kerberos服务,可以有效地保护数据的访问和传输。本文将详细阐述CDH集群手动安装Kerberos的步骤,旨在帮助用户避免常见的问题,确保安装过程顺利进行。 首先,确保集群的基础...
kerberos认证过程,AD域认证
06-12
Authentication解决的是“如何证明某个人确确实实就是他或她所声称的那个人”的问题。对于如何进行Authentication,我们采用这样的方法:如果一个秘密(secret)仅仅存在于A和B,那么有个人对B声称自己就是A,B通过让A提供这个秘密来证明这个人就是他或她所声称的A。这个过程实际上涉及到3个重要的关于Authentication的方面: Secret如何表示。 A如何向B提供Secret。 B如何识别Secret。
windows配置kerberos认证
01-09
最近在研究hive数据库,但是Windows环境下hive数据库登录需要kerberos的认证,被kerberos的认真折磨了好几天,差不多把百度翻了个底朝天没找到实际价值,后来终于解决了。总结了一份文档
【安全科普】AD域安全协议(一)kerberos
热门推荐
ZAWX_NETSTARSEC的博客
09-26 1万+
在网络空间中,用户进行通信时,要将自己的信息转换成数据,在网络上传输给对方。最初是不加密直接传输的,但是对话信息容易被他人查看,所以就出现了加密模式。这种方式,一定程度上保护了通信安全,但一些“聪明”的hei客,仍能通过第三方攻ji的手段偷换密码,以达到窃取信息的目的。在企业中,大多信息都能产生价值。hei客为了获得利益,...
kerberos linux 账号,使用AD / Kerberos进行身份验证/授权的Linux服务器是否需要计算机帐户?...
weixin_39970369的博客
05-13 148
这里有两个不同的考虑因素:1)身份验证(密码验证)2)授权(身份映射/组成员资格等)对于客户:您可以通过匿名客户端(无域加入/主机信用)通过Kerberos进行身份验证(密码检查).但是,您无法使用host-creds(/etc/krb5.keytab)执行GSSAPI SSO和KDC验证.对于授权,您需要能够对AD-DC进行LDAP绑定/查找.通常,AD不允许匿名LDAP绑定,因此您需要某种客户...
使用kerberos实现windowsAD账户和linuxsamba服务的结合
weixin_34221773的博客
01-05 1351
使用Active Directory来进行身份认证,主要是通过linux下的kerberos服务器来认证windows下的用户,达到windows AD域用户在linux下的使用,实现windows域控下的账户在linux各种服务上认证,同一管理账号,方便samba、postfix、FTP等。如使用AD域下的aa账户登录linux下的samba(aa的samba目录)或ft...
suse linux集群加入AD域问题
zyijia2011的专栏
03-28 1010
这两天在公司测试同事做linux集群加入AD域,遇到了一些很奇怪的现象。具体现象如下:    1、主节点发起集群加入域的命令,触发各个节点执行加入域的动作。在域控制器上发现有的节点成功加入域,有的节点没有加进来。          加入域的节点在域控制器上有时会出现一个红叉叉。    2、跟踪日志出现的问题也很让人困惑。         有时出现,kerberos authenticati
身份集权设施保护之Kerberos协议
ZAWX_NETSTARSEC的博客
05-30 884
Kerberosting需要选择简单的key,在三种爆破对象中,也就是用户账户,机器账户,服务账户,在比较安全的域中用户账户的安全性会比较高,而机器账户密码是随机生成的,而且三十天更换一次,只有服务账户会出现弱口令的情况,因为在服务部署的时候往往会产生一个固定密码,而且可能从来不去改,所以优先选择服务账户,机器账户也是特殊的服务账户,因为它也有SPN,SPN是唯一标识符,就像下图中的格式,可以理解为代表了特定的服务,SPN只要符合格式,不管服务存不存在都可以用来进行密码爆破。而该属性默认是没有勾选上的。
一文搞定Kerberos认证协议(黄金票据、白银票据)
qq_22792465的博客
07-15 2011
Kerberos主要为三方协议(地狱三头犬)即:客户端Client、服务端Server、密钥分发中心KDC其中KDC中包括AS(Authentication Server、认证服务器)和TGS(Ticket GrantingServer、票据授予服务器)AD(活动目录,里面包含域内用户数据库、存储用户、用户组、域相关的信息)这里首先用一句话进行解释Kerberos协议流程以便于下文阐述的理解(仅帮助理解下述出现的名词后续有详细解析,带着这句话往下观看):解决的问题:如何证明我就是我!!!!
一篇文章看懂Kerberos协议
qq_29948489的博客
12-14 497
kerberos是一种计算机网络认证协议,他能够为网络中通信的双方提供严格的身份验证服务,确保通信双方身份的真实性和安全性。不同于其他网络服务,kerberos协议中不是所有的客户端向想要访问的网络服务发起请求,他就能够建立连接然后进行加密通信。而是在发起服务请求后必须先进行一系列的身份认证,包括客户端和服务端两方的双向认证,只有当通信双方都认证通过对方身份之后,才可以互相建立起连接,进行网络通信。
CDH启用Kerberos认证
06-03
CDH中,启用Kerberos认证可以提高系统的安全性,可以防止未经授权的用户访问系统资源,保护数据的机密性和完整性。启用Kerberos认证需要进行一系列的配置步骤,包括: 1. 在CDH集群中安装和配置Kerberos服务,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

曹宇飞丶

您的鼓励是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值