CDH集群启用Sentry Kerberos LDAP

最新推荐文章于 2024-04-16 19:50:47 发布
最新推荐文章于 2024-04-16 19:50:47 发布
阅读量754 收藏
点赞数 2
分类专栏: CDH Linux 文章标签: CDH sentry kerberos LADP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cy309173854/article/details/115710956
版权
Linux 同时被 2 个专栏收录
49 篇文章 1 订阅
订阅专栏
CDH
30 篇文章 3 订阅
订阅专栏

参考链接: Cloudera Security | 5.8.x | Cloudera Documentationicon-default.png?t=LA92https://www.cloudera.com/documentation/enterprise/5-8-x/topics/security.html

一、前置准备

1、基础环境说明

操作系统:CentOS 6.8 minimal

CDM版本: 5.12.1

CDH版本:5.12.1

MySQL版本: 5.1.73

JDK: 1.8.0_131

浏览器版本: ChromeStandalone_56以上、IE10

内存:32G以上

  CPU :8core

  网络:千兆以上

集群未启用Kerberos

2、CDH安装

参考《CDH5.14.0集群安装》

二、KDC服务安装及配置

1、安装KDC服务

# yum install krb5-server krb5-libs krb5-auth-dialog krb5-workstation

2、配置KDC服务

1). 修改/etc/krb5.conf

# vi /etc/krb5.conf

[logging]

 default = FILE:/var/log/krb5libs.log

 kdc = FILE:/var/log/krb5kdc.log

 admin_server = FILE:/var/log/kadmind.log

[libdefaults]

 default_realm = HADOOP.COM

 dns_lookup_realm = false

 dns_lookup_kdc = false

 ticket_lifetime = 24h

 renew_lifetime = 7d

 forwardable = true

[realms]

 HADOOP.COM = {

  kdc = whgk02.domain

  admin_server = whgk02.domain

 }

[domain_realm]

 . whgk02.domain = HADOOP.COM

 whgk02.domain = HADOOP.COM

2). 修改/var/kerberos/krb5kdc/kadm5.acl

# vi /var/kerberos/krb5kdc/kadm5.acl

*/admin@HADOOP.COM      *

3). 修改/var/kerberos/krb5kdc/kdc.conf

# vi /var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]

 kdc_ports = 88

 kdc_tcp_ports = 88

[realms]

 HADOOP.COM = {

  #master_key_type = aes256-cts

  max_renewable_life= 7d 0h 0m 0s

  acl_file = /var/kerberos/krb5kdc/kadm5.acl

  dict_file = /usr/share/dict/words

  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab

  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal

 }

4). 创建Kerberos数据库

# kdb5_util create –r HADOOP.COM -s

Loading random data

Initializing database '/var/kerberos/krb5kdc/principal' for realm HADOOP.COM',

master key name 'K/M@WHGK.COM'

You will be prompted for the database Master Password.

It is important that you NOT FORGET this password.

Enter KDC database master key:设置密码

Re-enter KDC database master key to verify:确认密码

5). 创建Kerberos的管理账号

# kadmin.local

Authenticating as principal root/admin@HADOOP.COM with password.

kadmin.local:  add  (可以按tab补全命令)

add_policy     add_principal  addpol         addprinc      

kadmin.local:  addprinc admin/admin@HADOOP.COM

WARNING: no policy specified for admin/admin@HADOOP.COM; defaulting to no policy

Enter password for principal "admin/admin@HADOOP.COM": 设置密码

Re-enter password for principal "admin/admin@HADOOP.COM": 确认密码

Principal "admin/admin@HADOOP.COM" created.

kadmin.local:  exit

6). 添加自启动服务并启动服务

# systemctl enable --now krb5kdc.service

# systemctl enable --now kadmin.service

7). 测试Kerberos管理员账号

# kinit admin/admin@HADOOP.COM

Password for admin/admin@HADOOP.COM:

# klist

# klist -e

3、集群所有节点安装Kerberos客户端(包括CM)

# yum -y install krb5-libs krb5-workstation

CM节点安装额外组件

# yum -y install openldap-clients

4、拷贝配置文件

将KDC Server上的krb5.conf文件拷贝到所有Kerberos客户端(即集群所有节点)

# scp /etc/krb5.conf boe02:/etc/

# scp /etc/krb5.conf boe03:/etc/

三、CDH集群启用Kerberos

1、配置集群JDK(如未安装JDK参考install_java.sh)

下载jce_policy-8.zip

链接: http://www.oracle.com/technetwork/java/javase/downloads/index.html

# 7za x jce_policy-8.zip

# cp UnlimitedJCEPolicyJDK8/*.jar /usr/jdk64/jdk1.8.0_131/jre/lib/security/

登陆CM:

主页搜索java_home:

设置java_home:

2、KDC添加Cloudera Manager管理员账号

# kadmin.local

Authenticating as principal admin/admin@HADOOP.COM with password.

kadmin.local:  addprinc cloudera-scm/admin@HADOOP.COM

WARNING: no policy specified for cloudera-scm/HADOOP @WHGK.COM; defaulting to no policy

Enter password for principal "cloudera-scm/admin@ HADOOP.COM":

Re-enter password for principal "cloudera-scm/admin@HADOOP.COM":

Principal "cloudera-scm/admin@HADOOP.COM" created.

kadmin.local:  exit

3、配置启用kerberos

1). 启用Kerberos

进入Cloudera Manager的“管理”-> “安全”界面->启用Kerberos

2).检查信息

确保如下列出的所有检查项都已完成

3).配置KDC信息

配置KDC类型、KDC服务器、KDC Realm、加密类型以及待创建的Service Principal(hdfs,yarn,,hbase,hive等)的更新生命期等,点击“继续”

4).KRB5配置

不建议让Cloudera Manager来管理krb5.conf,点击“继续”

5).输入CM的Kerbers管理员账号

必须和之前创建的账号一致,点击“继续”,等待启用Kerberos完成,点击“继续”

6).Kerberos主体

7).重启集群

重启成功:

至此已成功启用Kerberos。

四、CDH集群启用sentry

1、创建数据库

mysql> create database sentry character set utf8;

mysql> grant all privileges on sentry.* to sentry@'cdh01.domain' identified by '123456';

mysql> flush privileges;

2、添加sentry服务

3、配置组件启用sentry服务

将sentry 用户在linux系统上加入hive用户组

# usermod -a -G hive sentry

# cat /etc/group|grep hive

1).HDFS配置启用sentry

启用ACLS和Sentry权限同步

启用 HDFS 权限检查

2).HIVE配置启用sentry

启用sentry

禁用Hive Impersonation

启用数据库中的存储通知

3).IMPALA配置启用sentry

4).HUE配置启用sentry

重启过时服务

五、LDAP服务安装及配置

1、安装OpenLDAP服务

# yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools

# rpm -qa |grep openldap

2、配置OpenLDAP

1).配置管理员密码

# slappasswd -s UnionBigData@123.

{SSHA}7hy17cr5d81JmKtj6JEXkCI36nXLwLN6

2).配置slapd.ldif文件

配置文件中多处配置dc=whgk02,dc=domain,由于OpenLDAP的域为whgk02.domain,如果LDAP的域为ldap.whgk02.com则配置为dc=ldap,dc=whgk02,dc=domain,根据自己LDAP的域名进行相应的修改。

# cp /usr/share/openldap-servers/slapd.ldif ~/

# vim slapd.ldif

dn: cn=config

objectClass: olcGlobal

cn: config

olcArgsFile: /var/run/openldap/slapd.args

olcPidFile: /var/run/openldap/slapd.pid

dn: cn=schema,cn=config

objectClass: olcSchemaConfig

cn: schema

include: file:///etc/openldap/schema/corba.ldif

include: file:///etc/openldap/schema/core.ldif

include: file:///etc/openldap/schema/cosine.ldif

include: file:///etc/openldap/schema/duaconf.ldif

include: file:///etc/openldap/schema/dyngroup.ldif

include: file:///etc/openldap/schema/inetorgperson.ldif

include: file:///etc/openldap/schema/java.ldif

include: file:///etc/openldap/schema/misc.ldif

include: file:///etc/openldap/schema/nis.ldif

include: file:///etc/openldap/schema/openldap.ldif

include: file:///etc/openldap/schema/ppolicy.ldif

include: file:///etc/openldap/schema/collective.ldif

dn: olcDatabase=frontend,cn=config

objectClass: olcDatabaseConfig

objectClass: olcFrontendConfig

olcDatabase: frontend

dn: olcDatabase=config,cn=config

objectClass: olcDatabaseConfig

olcDatabase: config

olcAccess: to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,c

 n=auth" manage by * none

dn: olcDatabase=monitor,cn=config

objectClass: olcDatabaseConfig

olcDatabase: monitor

olcAccess: to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,c

 n=auth" read by dn.base="cn=Manager,dc=whgk,dc=com" read by * none

dn: olcDatabase=hdb,cn=config

objectClass: olcDatabaseConfig

objectClass: olcHdbConfig

olcDatabase: hdb

olcSuffix: dc=whgk,dc=com

olcRootDN: cn=Manager,dc=whgk,dc=com

olcRootPW: {SSHA}7hy17cr5d81JmKtj6JEXkCI36nXLwLN6

olcDbDirectory: /var/lib/ldap

olcDbIndex: objectClass eq,pres

olcDbIndex: ou,cn,mail,surname,givenname eq,pres,sub

重新生成OpenLDAP的配置

# rm -rf /etc/openldap/slapd.d/*

# slapadd -F /etc/openldap/slapd.d -n 0 -l /root/slapd.ldif

# slaptest -u -F /etc/openldap/slapd.d

# chown -R ldap. /etc/openldap/slapd.d/

3).安装OpenLDAP的数据库文件并启动

# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

# chown -R ldap. /var/lib/ldap/

# systemctl enable --now slapd

# systemctl status slapd

3、导入根域及管理员账号

1). 创建root.ldif文件

# vim root.ldif

dn: dc=whgk,dc=com

dc: whgk

objectClass: top

objectClass: domain

dn: cn=Manager,dc=whgk,dc=com

objectClass: organizationalRole

cn: Manager

2).导入根域及管理员

# ldapadd -D "cn=Manager,dc=whgk,dc=com" -W -x -f root.ldif

查看是否导入成功

# ldapsearch -h whgk02.domain -b "dc=whgk,dc=com" -D "cn=Manager,dc=whgk,dc=com" –W

4、导入基础文件、账号和用户组

1). 配置migrate_common.ph

将文件中的$DEFAULT_MAIL_DOMAIN$DEFAULT_BASE修改为自己OpenLDAP的域

# vim /usr/share/migrationtools/migrate_common.ph

2). 导出基础文件

导出基础文件并保留需要的基础域配置

# /usr/share/migrationtools/migrate_base.pl >base.ldif

3).导出操作系统group.ldif文件

导出group文件并保留需要的group配置

# /usr/share/migrationtools/migrate_group.pl /etc/group > group.ldif

4).导出操作系统user.ldif文件

导出user文件并保留需要的user配置

# /usr/share/migrationtools/migrate_passwd.pl /etc/passwd >user.ldif

5).导入文件

# ldapadd -D "cn=Manager,dc=whgk,dc=com" -W -x -f base.ldif

# ldapadd -D "cn=Manager,dc=whgk,dc=com" -W -x -f group.ldif

# ldapadd -D "cn=Manager,dc=whgk,dc=com" -W -x -f user.ldif

查看是否导入成功

# ldapsearch -h whgk02.domain -b "dc=whgk,dc=com" -D "cn=Manager,dc=whgk,dc=com" -W|grep dn

5、OpenLDAP客户端配置

1).安装OpenLDAP客户端

# yum -y install openldap-clients

2).配置OpenLDAP客户端

# vim /etc/openldap/ldap.conf

打开日志

新增一行配置

# vim /etc/rsyslog.conf

local4.*                                                /var/log/ldap.log

# systemctl restart rsyslog.service

# tailf /var/log/ldap.log

3).测试客户端

# ldapsearch -D "cn=Manager,dc=whgk,dc=com" -W |grep dn

六、CDH集群启用LDAP

1、HDFS启用LADP

2、Hive启用LDAP

3、Impala启用LDAP

4、HUE启用LDAP

曹宇飞丶
关注
专栏目录
【hadoop】CDH Sentry介绍
九师兄
10-25 7585
Apache Sentry是Cloudera公司发布的一个Hadoop开源组件,截止目前还是Apache的孵化项目,它提供了细粒度级、基于角色的授权以及多租户的管理模式。、Apache Solr 和Cloudera Impala集成,未来会扩展到其他的Hadoop组件,例如HDFS和HBase。
0634-6.2.0-如何在CDH中安装Sentry服务
Hadoop_SC的博客
10-03 523
Fayson的github: https://github.com/fayson/cdhproject 推荐关注微信公众号:“Hadoop实操”,ID:gh_c4c535955d0f 1 安装前置 确认满足以下前置: 1.CM/CDH5.1.0或以上。 2.如果需要配置Sentry高可用,需要使用CM/CDH5.13.0以上。 3.如果需要配置Sentry高可用,需要准备一个关系型数据库用以保...
CDH开启Kerberos+Sentry权限控制-实施配置指南
12-02
CDH开启Kerberos+Sentry权限控制-实施配置指南,完整的详细教程
CDH启用 sentry
老鼬的博客
07-18 3011
CDH启用sentryCDH集群启用sentry步骤和测试。CDH启用sentryCDH中添加sentry服务后,按照Configuring the Sentry Service一步步进行来配置sentry服务。Before Enabling the Sentry Service 设置 hive.metastore.warehouse.dir 配置项(默认路径是/user/hive/warehous
kerberosldapsentry
小白学编程
09-27 4883
sentry 是权限控制 kerberos是身份认证,类似于防火墙.它是一个用于安全认证的第三方协议,并不是hadoop专用。可以用于其它系统,它采用了传统的共享密钥的方式,实现了client和server的通信 ldap是用户密码认证,clouderl登录hive和impala的时候,不输密码也可以登录,加了ldap就是必须输入账号密码 ...
CDH配置KerberosSentry (超详细)
summer089089的博客
07-22 5900
1.安全之Kerberos安全认证 1 Kerberos概述 1.1 什么是Kerberos Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。 Kerberos不是k8s,Kubernetes简称k8s,是一个开源
CDH集群离线搭建(适用内网)——sentry集成配置⑩
M_red的博客
03-14 339
在hive配置中搜索:Hive Metastore Server Default Group,然后[勾选] Hive Metastore Server Default Group。点击hdfs组件,点击配置,在搜索框中搜索:“启用访问控制列表"或者"dfs.namenode.acls.enabled”,然后[勾选] HDFS (Service-Wide);点击hue服务,点击配置,在搜索栏中搜索:Sentry,然后Sentry Service [勾选] Sentry。保存并重启HDFS服务。
CDH6.2.0集成kerberos(已经集成了ldap,sentry
weixin_38655836的博客
06-12 1610
服务器列表信息: 10.29.200.241 testhadoop-01 10.81.51.210 testhadoop-02 10.81.75.23 testhadoop-03 10.81.66.119 testhadoop-04 10.81.88.137 testhadoop-05 1.在testhadoop-02 服务器上安装KDC服务 yum -y install kr...
CDH6.3.2网盘.txt
12-22
由于CSDN上传文件大小限制,下载《CDH6.3.2网盘.txt》获取网盘地址进行下载,CDH6.3.2 搭建所需要的各种安装文件,包括: allkeys.asc ...包含:CDH搭建安装,Kerberosldapsentry,freeIPA等一些配置教程
基于Sentry和Hue实现Hive权限控制(非认证情况)
weixin_33022765的博客
03-14 1143
基于Sentry和Hue实现Hive权限控制(非认证情况) 目录基于Sentry和Hue实现Hive权限控制(非认证情况)1 写在前面2 安装Sentry服务2.1 创建数据库2.2 添加Sentry服务3 Hive/Hue服务与Sentry集成3.1 Hive配置3.2 Hue配置4 配置Hive权限5 Sentry权限验证测试6 参考文档 1 写在前面 Sentry组件由Clodera公司提供的安全授权管理工具。我们可以使用该组件实现hive的分租户权限管理。 在此之前,需要明确:CDH平台中的安全,认
CDH Kerberos入门与实战
02-27
CDH Kerberos入门与实战 ,非常详细,大家可以下载看看
CDHKerberos 安全认证和 Sentry 权限控制管理(一)
dzqxwzoe的博客
01-31 1112
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。ApacheSentry是Cloudera公司发布的一个Hadoop开源组件,2016年3月成为Apache顶级项目。
2个CDH 使用一个kerberosLDAP,2024年最新大数据开发研发岗面试复盘总结
最新发布
2401_84166278的博客
04-16 557
份系统化的资料的朋友,可以添加V获取:vip204888 (备注大数据)**(img-c8Blgeo3-1713268176708)]###创建Ldap认证的用户。
CDH6.3.2 配置LDAP+kerberos
h952520296的博客
04-08 2578
本文主要记录 cdhhadoop集群集成 ldap 的过程,这里 ldap 安装的是 OpenLDAPLDAP 用来做账号管理,Kerberos作为认证。授权一般由Sentry来决定的。 集群包括7个节点,每个节点的ip、主机名和部署的组件分配如下: 192.168.0.200 master Kerberos KDC 、OpenLDAP 192.168.0.201 slave1 kerberos client、ldap client 192.168.0.202 s..
CDH6 配置LDAPKerberosSentry
weixin_40004348的博客
10-14 2564
CDH6 配置LDAPKerberosSentry 1. 开启Sentry 控制Hive,Hue,Impala权限 1.1 在mysql中配置数据库 [root@cdh1 ~]# mysql -uroot -p //登陆mysql mysql> CREATE DATABASE sentry DEFAULT CHARACTER SET utf8; //创建sentry库 mysql> grant all on sentry.* to 'sentry'@'%' identified
kerberossentry 原理及使用
heqingcool的博客
06-07 778
安全认证与权限管理的必要性 非安全集群 安全认证集群 多租户设计愿景 kerberos kerberos原理 Kerberos是一个用于鉴定身份(authentication)的协议, 它采取对称密钥加密(symmetric-key cryptography),密钥不会在网络上传输。在Kerberos中,未加密的密码(unencrypted password)不会在网络上传输,因此攻击者无法通过嗅探网络来偷取用户的密码。 在cdh大数据平台中充当这秘钥的角色,cdh平台中组件会集成ker
CDH5.3配置Kerberos+LDAP+Sentry记录
热门推荐
小黑
09-06 2万+
系统环境说明 操作系统:Centos6.5 CDH版本:5.3 JDK版本:1.7 操作用户:root Kerberos版本:1.10.3 LDAP版本:2.4.40 Sentry版本:1.4 集群配置 机器数量:5 内存:64G 硬盘:10T CPU核心数:24 运行的服务:HDFS、Yarn、HBase、Hive、Sqoop2、Impala、Zookeep
CDH集群离线搭建(适用内网)——LDAP安装和配置⑪
M_red的博客
03-14 737
【代码】CDH集群离线搭建(适用内网)——LDAP安装和配置⑪。
cdh集群sentry 启用HA
wflh323的专栏
08-09 816
cdh集群sentry主用用来进行hive数据权限认证,sentry服务失败后会影响访问hive库的任务。sentry ha的功能是在cdh5.13之后才有的。 开启sentry HA 1. 进入sentry 操作,选择启用HA 2. 选择主机安装另一个sentry实例 3.根据向导,执行完成 ...
CDH集群部署详解:Kerberos与Apache Sentry整合
本部署文档详细介绍了Hadoop的生态和CDH的特点,强调了安全组件KerberosSentry的重要性,为部署和管理大型Hadoop集群提供了全面的指导。无论是对于初次接触Hadoop的新手,还是寻求优化现有集群的管理员,这份文档...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

曹宇飞丶

您的鼓励是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值