nifi 1.7.1 安全集群设置+用户创建(Kerberos 配置 )

最新推荐文章于 2024-07-02 08:10:02 发布
置顶 最新推荐文章于 2024-07-02 08:10:02 发布
阅读量1.6k 收藏 1
点赞数 1
分类专栏: 大数据 nifi 文章标签: nifi Kerberos zookeeper 安全登陆 集群
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dch215810/article/details/82386573
版权

系统环境及软件版本

  • CentOS7

  • JDK1.8.0_91

  • Nifi-1.7.1

  • Kerberos5 

  • zookeeper3.4.5

  • nifi-toolkit-1.7.1

集群信息:

host_nameIPservice
server192.0.0.230Kerberos5 Server, Nifi Cluster Manager,zookeeper 
client192.0.0.231
Kerberos5 Client, Nifi Cluster,zookeeper

前置准备:( 软件安装,网络ip)不在赘述

配置主机名:

 

vi /etc/hosts

关闭防火墙:

搭建Kerberos5服务

安装KDC服务及配置:

进入到server机器,执行以下命令安装KDC服务:

1yum -y install krb5-server krb5-libs krb5-workstation krb5-auth-dialog


修改KDC默认配置:

进入/etc目录找到/etc/krb5.conf文件打开并修改,参考如下:

修改KRB5KDC配置文件:

进入/etc目录找到/var/kerberos/krb5kdc/kdc.conf文件打开,参考如下修改:

保证与krb5.conf中的realms一致

初始化数据库:

输入自己的初始化密码:

修改数据库权限

找到/var/kerberos/krb5kdc/kadm5.acl配置文件,给数据库管理员添加ACL权限,*代表全部权限,操作如下:

设置kerberos服务开机启动,并且启动服务
      手动启动服务

service krb5kdc start
service kadmin start

      设置开机自动启动

chkconfig krb5kdc on
chkconfig kadmin on

 

创建数据库管理员

参考如下命令创建管理员用户,保存好创建时设置的密码(如果忘记后期可以使用cpw命令更新),并导出keytab

[root@server ~]#kadmin.local -q "addprinc admin/admin"

[root@server ~]#kadmin.local

kadmin:addprinc -randkey test/NIFI

kadmin:ktadd -k /opt/test-NIFI.keytab test/NIFI

kadmin:q

验证管理员用户
创建login/server@NIFI.COM作为管理员账户,自定义密码为hadoop
kadmin.local -q "addprinc login/server" 
使用kinit命令来检测创建的用户是否成功(需要输入密码),可以集群间验证

kinit login/server@NIFI.COM

 

安装KDC Client服务

进入从Cluster机器,执行如下命令安装KDC Cliente服务:

1yum -y install krb5-libs krb5-workstation

拷贝主节点的krb5.conf和test-NIFI.keytab到从节点服务,参考如下:注意此处指的是所有机器

1

[root@client ~]# scp root@server:/etc/krb5.conf /etc/krb5.conf

 

2[root@client ~]# scp root@server:/opt/test-NIFI.keytab /opt/test-NIFI.keytab

证书生成

下载与安装
下载地址:http://nifi.apache.org/download.html
下载后解压安装nifi-toolkit-1.1.2-bin.zip (或tar.gz格式,自己选择最新版本),配置好环境变量方便使用。
 生成相关证书
为server节点生成密钥库,truststore,nifi.properties以及具有给定DN的客户端证书。

./tls-toolkit.sh standalone -n 'server, client' -C 'CN=admin, OU=NIFI' -o './target'

  • -n 表示机器的hostname
  • -C 生成浏览器证书(注意: CN=admin, 后面的空格一定要保留)
  • -o 输出的目录
  • -f Nifi的配置文件位置

拷贝证书

拷贝生成好证书到主从节点服务器下NIFI安装目录中的conf文件夹,如下:

1[root@server target]# scp target/client/* root@client:/home/hadoop/app/nifi-1.7.1/conf
2[root@server target]# cp target/serverr/* /home/hadoop/app/nifi-1.7.1/conf

配置Zookeeper服务

注意:所有的主从节点都需要操作

切换到zookeeper目录的conf下复制zoo.cfg文件

cp zoo_sample.cfg zoo.cfg

并修改zoo.cfg 文件:

在创建数据文件和日志文件,并在数据文件中创建myid

注意: 创建的myid为1,如:echo -n '1' > /home/hadoop/data/zookeeper/zkdata/myid

更新NIFI配置

进入到Nifif安装目录下修改conf/nifi.properties文件,把内置的zookeeper启动设置为false,如下:

nifi.state.management.embedded.zookeeper.start=false

配置Nifi Admin初始化

更新NIFI配置

进入到Nifif安装目录修改conf/nifi.properties文件,把kerberos5的登录适配加上,如下:

配置nifi登陆信息
vi login-identity-providers.xml 放开kerberos-provider的注释

配置用于登陆的用户信息
vi authorizers.xml

初始化、授权、策略一定都要配置好,管理用户是生产key时的用户(-C 'CN=admin, OU=NIFI'),个集群的节点名称也要授权,用于集群的识别。

更新登录配置

进入到Nifi安装目录中的conf目录,修改login-identity-providers.xml文件,打开kerberos-provider节点注释:(和上面配置成一样的域)

启动NIFI服务

先启动主节点的NIFI,而后启动从节点的NIFI,执行命令./bin/nifi.sh start,然后启动主节点和从节点的zookeeper,执行命令/home/hadoop/app/zookeeper3.4.5/bin/zkServer.sh start

 然后打开浏览器添加之前生成的证书CN=admin_OU=NIFI.p12和密码CN=admin_OU=NIFI.password:Chrome浏览器为例

倒入.p12文件,密码在.password中

登录:

输入https://server:9443/nifi/便会跳转到登录页面,即可登录成功。界面显示如下:

然后进行用户配置授权即可:

用户新增和租户管理:

由于用的是Kerberos管理的所以,我们的用户必须先用管理员账户登录--->然后再users和Policies中创建用户和添加权限--->再在kdc中添加你创建的用户名(设置用户名、密码)--->退出管理员帐户重新用新创建的用户登录。

   

注:如有写的不对的地方欢迎指正交流,谢谢。

dch215810
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
NIFI大数据进阶_NIFI集群知识点_认识NIFI集群以及集群的组成部分---大数据之Nifi工作笔记0014
添柴程序猿的专栏
02-18 190
然后再来看什么是孤立的processor,比如,getsftp获取文件,肯定不能让他在每个节点上都执行,那样的话,获取的数据就是重复的了,只能在某个节点上执行,这个时候就可以设置,在主节点上getftp这个。为独立运行,那么这时候就只在主节点上执行了,保证数据只读取一份了就,但是经过主节点获取数据以后,获取的数据流出去以后,这些数据的后续处理可以在所有节点上执行.可以看到什么是零主集群, 零主集群就是,没有主节点的集群,没有一种专门负责记录元信息,看一下什么是主节点,什么是节点,什么是NIFI集群协调器。
大数据NiFi(九):NiFi集群页面的添加、配置处理器操作
Lansonli(蓝深李)的博客
01-07 1029
鼠标双击处理器或者选择以上“Configure”,打开配置处理器选项,配置分为四个部分:SETTINGS,SCHEDULING,PROPERTIES,COMMENTS。此选项显示NiFi数据来源表,其中包含有关通过该处理器路由的FlowFiles的数据出处事件的信息。此选项允许用户建立或更改处理器的配置,也可以在对应的Processor上双击打开。此选项允许用户启用或禁用处理器,具体取决于处理器的当前状态。此选项允许用户查看和跳转到进入处理器的上游连接。此选项允许用户查看和跳转到处理器的下游连接。
nifi配置超级用户_nifi_nifi配置超级用户_
10-04
使用nifi配置超级用户,需要安全证书,里面是我写的一个例子
NiFi相关:Kerberos认证下用户创建和授权相关
weixin_34232744的博客
05-15 824
2019独角兽企业重金招聘Python工程师标准>>> ...
kerberos下新增租户步骤
sunxunyong的博客
07-02 141
或kadmin.local: xst -k admin.keytab -norandkey admin/admin@EXAMPLE.COM。2、查看principal 检查principal保证要建的principal没有。ktadd -k /etc/***.keytab 用户/组@realm。addprinc -randkey 用户/组@realm。Addprinc -pw **** 用户/组@realm。kadmin.local或kadmin。3、生成随机key的principal。
NIFI Kerberos 认证
weixin_34387284的博客
05-15 1139
2019独角兽企业重金招聘Python工程师标准>>> ...
nifi-搭建
sinat_34233802的博客
04-01 1万+
NIFI 简介 1、NIFI 的概念 1.1 起源:NIFI是为了自动化的处理和管理系统之间的数据流而产生的,基本设计概念与基于流的编程[fbp]的主要思想密切相关 1.2 nifi核心概念 FlowFile:FlowFile表示通过系统移动的每个对象,包含数据流的基本属性 FlowFile Processor(处理器):负责实际对数据流执行工作 Connect
Apache NiFi用户指南
热门推荐
张伯毅的专栏
03-20 1万+
介绍 Apache NiFi是基于流程编程概念的数据流系统。它支持强大且可扩展的数据路由,转换和系统中介逻辑的有向图。NiFi具有基于Web的用户界面,用于设计,控制,反馈和监控数据流。它在服务质量的几个方面具有高度可配置性,例如容错与保证交付,低延迟与高吞吐量以及基于优先级的排队。NiFi为所有接收,分叉,加入克隆,修改,发送和最终在达到其配置的最终状态时丢弃的数据提供细粒度数据来源。 有关...
nifi1.7.1安全集群设置
09-04
Nifi 1.7.1 安全集群设置是指在 CentOS 7 环境下,使用 JDK 1.8.0_91、Nifi-1.7.1、Kerberos5、zookeeper3.4.5 和 nifi-toolkit-1.7.1 等软件版本,搭建一个安全Nifi 集群。该集群设置解决了现在网络上都是老版本...
基于KerberosNIFI集群安全登陆模式
wjqwinn的专栏
08-03 2025
本文档旨在说明如何在NIFI集群模式下中配置kerberos安全登陆模式。
centos7下Nifi1.7的安装
SuperHeroX的博客
07-15 474
1.Nifi介绍 Apache NiFi 是一个易于使用、功能强大而且可靠的数据拉取、数据处理和分发系统,用于自动化管理系统间的数据流。 它支持高度可配置的指示图的数据路由、转换和系统中介逻辑,支持从多种数据源动态拉取数据。 NiFi原来是NSA(National Security Agency [美国国家安全局])的一个项目,目前已经代码开源,是Apache基金会的顶级项目之一 NiFi基于Web方式工作,后台在服务器上进行调度。 用户可以为数据处理定义为一个流程,然后进行处理,后台具有数据处理
Apache NiFi 安装配置
qq_26618073的博客
10-17 2053
单机 下载 http://nifi.apache.org/download.html nifi-1.7.1-source-release.zip【源码学习,IDEA编译偏好】 nifi-1.7.1-bin.tar.gz 【下载运行文件】 安装 tar zxvf nifi-1.7.1-bin.tar.gz 配置 conf/nifi.properties修改端口号和路径: #启动后访问的地址: n...
nifi集群_kerberos授权集群部署NIFI
weixin_39698217的博客
12-20 527
接着上一遍文章单机NIFI使用kerberos授权登录和权限分配192.168.42.6 nifi0 KDC192.168.42.3 nifi1 客户端192.168.42.4 nifi2 客户端192.168.42.5 nifi3 客户端上面文章已经实现了nifi1服务器节点的kerberos授权和登录,下面开始安装集群NIFI第一步:把nifi1的nifi-1.12.0-bin.ta...
nifi1.15.x https 单用户账密登录配置
h952520296的博客
03-03 4718
nifi 1.15.3之后https成为了必选项 ,而且企业环境下也必须配置账密 但是nifi官网的文档写的语焉不详,分享一下避免大家踩坑 首先下载nifi对应版本的 tls密钥生成工具 Apache NiFi Downloads 名字就是nifi-toolkit-xxxx-bin.zip,最好和本体一起下载 。这个工具和本体之间有版本对应关系。并且一些老的版本下不着了 ,小版本差距不大可以用 解压后进入文件夹 bin/tls-toolkit.sh standalone -C 'CN=test,
NIFI1.21.0最新版本安装_配置使用HTTP登录_默认是用HTTPS登录的_Https登录需要输入用户名密码_HTTP不需要---大数据之Nifi工作笔记0051
添柴程序猿的专栏
05-24 1004
安装就不说了,无非就是下载,然后解压,然后去配置/opt/module/nifi-1.21.0/conf/nifi.properties文件。这里注意了,我用的是edge浏览器访问的,一直卡在那个开始页面了,很久进不去,注意这个时候,换成Google的chrome浏览器就可以进去了。上传,解压,什么的这里就不说了,还有安装jdk啊,最开始我们安装nifi1.9.2版本的时候,这些都已经详细说明了,可以去看那个博文。这里就说一下如何配置,这个文件来实现关闭,https服务,启动http访问,因为只要打开。
NIFI自定义开发
为什么简介是必填项?
07-08 3707
NIFI自定义开发 NIFI自定义开发组件的结果目标,是能够在NIFI主页Processor里面拖动出来可以使用自己设置的属性,以及自己操作的逻辑处理。NIFI自定义组件的开发,其实就是继承AbstractProcessor 类,实现其方法即可。 下面直接放上一个例子进行说明,以及各对象的使用用途说明。 自定义开发组件步骤 1、maven POM文件中引入nifi对应包; 2、resources目录下新建文件夹 META-INF.services 3、META-INF.services下新建一个File o
ETL工具NIFI的3种部署方式(免登录方式、单用户、多租户登录方式)
daydaylearn的专栏
03-14 1492
在实时数仓架构中,选一个得心应手的ETL工具,可以大大提高开发效率,节省人力成本。这里向大家推荐一款很好的、笔者已在生产环境中使用的、可以实现无代码编程的ETL工具:NIFI
Apache NiFi系统管理员指南 [ 二 ]
张伯毅的专栏
03-20 3215
配置用户和访问策略 加密配置 关键衍生函数 盐和IV编码 Java密码术扩展(JCE)有限强度管辖政策 允许不安全的加密模式 配置文件中的加密密码 NiFi工具包管理工具 群集配置 零主集群 为什么集群? 术语 集群内的通信 管理节点 流动选举 配置用户和访问策略 根据配置的UserGroupProvider和AccessPolicyProvide...
NiFi 单机和集群安装与使用
shpunishment的博客
01-03 1585
文章目录1. 安装1.1 压缩包安装1.2 Docker安装2. 使用 1. 安装 1.1 压缩包安装 NiFi官网下载 mkdir /usr/local/softwares/nifi tar -zxvf nifi-1.10.0-bin.tar.gz -C /usr/local/softwares/nifiNiFi安装目录下执行 可在conf/nifi.properties修改端口,原808...
nifi集群配置https
最新发布
07-19
Apache NiFi是一个强大的数据流处理框架,集群配置通常涉及到以下几个步骤来设置HTTPS: 1. **SSL/TLS证书**:首先,你需要生成或获取一组有效的SSL/TLS证书,包括公钥(.crt文件)和私钥(.key文件)。这些证书用于加密流量,确保通信安全。 2. **配置NiFi SSL支持**:在NiFi的conf目录下,编辑nifi.properties文件,并添加或修改`nifi.security.server.protocol=https`以及相关的SSL属性,如`nifi.security.keystore.path`, `nifi.security.keystore.password`, 和 `nifi.security.keymanager-password` 等,指向你的SSL证书文件位置。 3. **启动SSL服务**:重启NiFi服务,让其加载新的SSL配置。你可以通过命令行(如`bin/nifi.sh start`)或管理界面来完成这一步。 4. **配置集群成员之间通信**:如果这是一个高可用性(HA)集群,还需要在每个节点上配置相同的安全组规则,确保所有节点可以互相访问HTTPS端口。 5. **验证连接**:一旦集群配置完毕,尝试从一个节点到另一个节点建立HTTPS连接,确保能够成功通信。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值