一、前置准备
1、基础环境说明
集群操作系统:CentOS 7.4 core
CM版本: 6.2.1
CDH版本:6.2.1
JDK: 1.8.0_151
浏览器版本: ChromeStandalone_56以上、IE10
AD Server:WinServer2012 R2
集群未启用Kerberos
2、创建AD管理账户
创建AD管理账户
委派控制所有权限
二、Kerberos客户端安装及配置
1、集群所有节点安装kerberos客户端
# yum install -y krb5-libs krb5-workstation
2、配置kerberos服务
使用vi修改所有节点/etc/krb5.conf
# vi /etc/krb5.conf
includedir /etc/krb5.conf.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
default_realm = BOSCH.COM
# default_ccache_name = KEYRING:persistent:%{uid}
[realms]
BOSCH.COM = {
kdc = adserver.bosch.com
admin_server = adserver.bosch.com
}
[domain_realm]
.bosch.com = BOSCH.COM
bosch.com = BOSCH.COM
三、CDH集群启用Kerberos
1、启用Kerberos
进入Cloudera Manager的“管理”-> “安全”界面->启用Kerberos
2、检查信息
确保如下列出的所有检查项都已完成
3、配置KDC信息
配置KDC类型、Kerberos 安全领域、KDC Server 主机、KDC Admin Server Host、Active Directory 后缀,点击“继续”
4、Krb5配置
跳过Cloudera Manager管理krb5.conf,点击“继续”
5、输入CM的Kerbers管理员账号
必须和之前AD服务器上创建的管理账号一致,点击“继续”,等待启用Kerberos完成,点击“继续”
6、Kerberos主体
7、启用Kerberos
等待生成凭据后集群启动成功(生成凭据时可在AD服务器上查看):
至此已成功启用Kerberos。