基于ambari+hdfs 搭建Kerberos集群

最新推荐文章于 2023-08-04 23:34:49 发布
最新推荐文章于 2023-08-04 23:34:49 发布
阅读量1.5k 收藏 3
点赞数 1
分类专栏: spark hadoop 文章标签: Kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dymkkj/article/details/88595346
版权
spark 同时被 2 个专栏收录
34 篇文章 0 订阅
订阅专栏
hadoop
14 篇文章 0 订阅
订阅专栏


1.下载jce并解压至JAVA_HOME/jre/lib/security目录下,AMbari所有节点均需要
http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html
unzip -o -j -q jce_policy-8.zip -d   $JAVA_HOME/jre/lib/security  (避免软链接)
 

2.Kdc server 安装 kerberos ,其他节点不需要安装
yum install krb5-server krb5-libs krb5-workstation


3.kdc server 节点配置文件

(1) kerberos 服务日志
vim /etc/krb5.conf 


[libdefaults]
  renew_lifetime = 7d
  forwardable = true
  default_realm = GAI.COM
  ticket_lifetime = 24h
  dns_lookup_realm = false
  dns_lookup_kdc = false
  default_ccache_name = /tmp/krb5cc_%{uid}
  #default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
  #default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5

[logging]
  default = FILE:/var/log/krb5kdc.log
  admin_server = FILE:/var/log/kadmind.log
  kdc = FILE:/var/log/krb5kdc.log

[realms]
  GAI.COM = {
    admin_server = server.gai.test.com
    kdc = server.gai.test.com
  }

(2)  kdc 秘钥配置文件
vim /var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
  GAI.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }
              
 
(3)keberos访问控制列表
vim /var/kerberos/krb5kdc/kadm5.acl

*/admin@GAI.COM    *  
*/dp@GAI.COM    *  #此处应用访问需要,配置时,把该注释去掉,避免影响配置文件加载出错
                    

(4)修改上面配置文件中日志文件访问权限,避免权限问题:
chmod 666 /var/log/kadmind.log
chmod 666 /var/log/krb5kdc.log

3.非kdc server 从节点(或者从kdc server节点进行scp拷贝到 /etc 下面): 如果启动时,发现错误,反复检查,配置是否正确(防火墙,selinux是否关闭)

# GAI.COM 与下面[realms]保持一致
vim /etc/krb5.conf 
[libdefaults]
  renew_lifetime = 7d
  forwardable = true
  default_realm = GAI.COM
  ticket_lifetime = 24h
  dns_lookup_realm = false
  dns_lookup_kdc = false
  default_ccache_name = /tmp/krb5cc_%{uid}
  #default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
  #default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5

[logging]
  default = FILE:/var/log/krb5kdc.log
  admin_server = FILE:/var/log/kadmind.log
  kdc = FILE:/var/log/krb5kdc.log

[realms]
  GAI.COM = {
    admin_server = server.gai.test.com
    kdc = server.gai.test.com
  }

4.创建数据库:(如果/var/kerberos/krb5kdc有principal* 开头文件,全部删除;或者创建过程中报错,删除重建,如果仍然不行:在ambari上Disabled kerberos ,删除下每个节点  /etc/security/keytabs/下的所有文件)
cd   /etc/security/keytabs/
rm -rf *

kdb5_util create –s -r GAI.COM 


5.创建管理员
命令进入:kadmin.local 
执行命令:addprinc  admin/admin@GAI.COM


6.在kdc server重启 kadmin,krb5kdc, 集群上重启 ambari(ambari-server,ambari-agent)
kdc server所在节点:
service kadmin restart 
service krb5kdc restart 


停止:
ambari-agent节点:
ambari-agent stop 
ambari-server节点:
ambari-server stop


启动:
ambari-server节点:
ambari-server start
ambari-agent节点
ambari-agent start


## 可以设置 kdc开机启动(生产一般不会停机)
chkconfig krb5kdc on
chkconfig kadmin on

7.在ambari启动kerberos,并测试

kadmin -p admin/admin


8.kerkeros 客户端所在节点(非KDC server 节点)安装kerberos 客户端软件
yum install   krb5-workstation

 

 

9.ambari 启动 Kerberos配置

a.右上角找到admin选项:

 

b.选择已存在,现有MIT KDC(已经安装了KDC)


 

 

c.输入 kdc hosts(安装KDC server的hostname), Realm name

 

d.点击下一步:

 

 

10.测试

1.登录 kadmin.local (非kdc host 使用 kadmin -p admin/admin   ,密码是之前创建kdbutil的密码

创建用户:

addprinc  dp/admin@GAI.COM (本地访问秘钥)

addprinc  HTTP/admin@GAI.COM    (HTTP 代理访问)

 

2.生成秘钥(有过期时间)

xst -k dp.admin.keytab dp/admin

xst -k http.admin.keytab HTTP/admin

 

(也可以指定编码方式,用于无法生成正确加密方式的秘钥,根据其他系统服务秘钥的加密种类生成秘钥:

指定加密,解密方式:
xst -e  aes128-cts-hmac-sha1-96,arcfour-hmac,des-cbc-md5,des3-cbc-sha1,aes256-cts-hmac-sha1-96 -k smokeuser.headless.keytab -q ambari-qa-geotmt@EXAMPLE.COM)

3.本地初始化秘钥,生成Ticket Cache:

kinit -kt dp.admin.keytab  dp/admin

 

4.测试hdfs,发现不再报错:

hdfs  dfs -ls  / 

 

 

11.遇到的问题

ambari test kerberos client时日志文件权限问题:
 1.Couldn't open log file /var/log/kadmind.log: 权限不够

 修改权限:
 chmod 777   /var/log/kadmind.log 

如果不慎把keytab 删除(删除了 /etc/security/keytabs下的文件),在禁用kerberos时出现报错Key table file '/etc/security/keytabs/smokeuser.headless.keytab' not found while getting initial credentials
Client 'ambari-qa-geotmt@GAI.COM' not found in Kerberos database while getting initial credentials

解决:
kadmin.local 进入创建该keytab
xst -k smokeuser.headless.keytab ambari-qa-geotmt@GAI.COM

hadoop定位错误:以前自己经常用的,时间长了也会混忘:  /var/log/hadoop/hdfs/hadoop-hdfs-datanode-snamenode.gai.test.com.out 真正的日志在  /var/log/hadoop/hdfs/hadoop-hdfs-datanode-snamenode.gai.test.com.log
out

 

12:ambar使用hdfs超级用户修改所有用户的创建文件的属主,属组,相当于Linux的root

su - hdfs 

hdfs dfs   -chown  -R  gai:gai    hdfs://192.168.0.1:8020/usr/gai/

青山流水在深谷
关注
专栏目录
大数据Ambari+HDP最优架构选型.pdf
11-15
Ambari是一个用于Hadoop集群管理和监控的开源工具,而HDP则是一个全面的大数据平台,包含了多个关键组件如Hive、Spark、Flume等。 1. **HDP数据架构总览**:HDP通常包括HDFS(Hadoop分布式文件系统)、YARN(资源...
CDH6.2环境中启用Kerberos
我思,故我在!--My data life
06-27 9254
一、Kerberos概述: Kerberos是一个用于安全认证第三方协议,并不是Hadoop专用,你也可以将其用于其他系统,它采用了传统的共享密钥的方式,实现了在网络环境不一定保证安全的环境下,client和server之间的通信,适用于client/server模型,由MIT开发和实现。而使用Cloudera Manager可以较为轻松的实现界面化的Kerberos集成, Ker...
Can’t open the log file: Permission denied
最新发布
heyu996的博客
08-04 3763
docker下启动redis报Can't open the log file: Permission denied错误
金仓数据库KingbaseES安全指南--6.3. Kerberos身份验证
arthemis_14的博客
08-01 916
金仓数据库KingbaseES安全指南--6.3. Kerberos身份验证
hadoop:在hfds下删除文件can not found file
weixin_30699831的博客
01-10 167
在浏览hdfs上面的文件的时候,要在hadoop的安装目录下 [hadoop@master hadoop-0.20.2]$bin/hadoop fs -ls 进行查看,但是想要删除hdfs里面的文件,路径就需要是hdfs的专属路径,因为hdfs的文件路径和linux的本地路径是完全两套系统 例如想删除file01文件 [hadoop@master hadoop-0.20.2]$bin/ha...
Kerberos主KDC数据库同步到从KDC报错:Key table entry not found while getting initial credentials
07-08 3676
***报错详情:*** Kerberos开启高可用模式,主KDC数据库同步到从KDC时执行命令: `kprop -f /var/kerberos/krb5kdc/slave_datatrans slavehost` 报错: ``` Error:kprop: Key table entry not found while getting initial credentials? ``` ***解决办法:*** 1.查看文件/etc/krb5.conf配置是否修改正确(如KDC服务器端口不为默认的88,则需要在
Hadoop集群搭建共10页.pdf.zip
11-21
【标题】:Hadoop集群搭建 Hadoop是一个开源的分布式计算框架,由Apache软件基金会维护。它设计用于处理和存储海量数据,通过分布式文件系统(HDFS)和MapReduce编程模型实现。本资料"共10页.pdf"将详细介绍如何...
hadoop集群服务搭建共6页.pdf.zip
10-29
【标题】: "Hadoop集群服务搭建指南" 【描述】: 这个压缩包文件包含了一份6页的PDF文档,详细介绍了如何搭建Hadoop集群服务。Hadoop是Apache软件基金会开发的一个开源分布式计算框架,它使得大数据处理变得更加高效...
Ambari-2.7.3.0+HDP-3.1.0.0-Ubuntu安装包-HDP安装包大全
07-16
在使用Ambari时,需要注意的是,虽然它简化了Hadoop集群的运维,但仍然需要一定的Hadoop知识,比如理解HDFS、MapReduce、YARN等核心概念,以及如何根据业务需求调整配置。此外,安全性和高可用性也是考虑的重点,...
Kafka-Kerberos [2]- "kprop: Key table entry not found while getting initial credentials"
qq_43552708的博客
04-19 2489
Kafka-Kerberos [2]- "kprop: Key table entry not found while getting initial credentials" 关于Kerberos KDC主从搭建的帖子有很多,大体的思路都对,但是动手实际搭建一套KDC主从环境就可以发现某些帖子写得还是有些许问题的,这里推荐两个比较好的手册: Kerberos官方文档: http://web.m...
Ambari集成Kerberos报错汇总
weixin_34419321的博客
12-14 1210
                  Ambari集成Kerberos报错汇总                                        作者:尹正杰  版权声明:原创作品,谢绝转载!否则将追究法律责任。           一.查看报错的配置信息步骤 1>.点击Test Kerberos Client,查看相应日志信息   2>.查看具体是哪台机器出现问题   ...
Kerberosambari启用kerberos 报错处理
人生所向,皆是美好
03-02 6073
文章目录一、 ambari中启用kerberos报错Invalid KDC administrator credentials. Please enter admin principal and password.二、Can not fetch master key (error: No such file or directory). while initializing kadmin.loca...
Ambari(一) ----Ambari安装遇到的问题及解决方案
....
09-01 1万+
文章目录 Ambari安装 Ambari2.6.0离线安装 Apache Ambari-2.7.3离线安装 Ambari踩过的坑及解决方案 博主的生产环境使用的是Ambari2.6.0版本 自己研究选择的是相对较新的Ambari2.7.3版本 因此,Ambari安装及踩坑主要是围绕这两个版本进行 一. Ambari安装 1.1 Ambari2.6.0离线安装 Ambari2.6.0版本安装可以参考该博客链接: Ambari2.6.0+HDP2.6.3安装(离线) 博主亲测,按照博客内容逐步执行即可,
Ambari学习笔记-安装Kerberos
snipercai的博客
04-18 1474
Ambari学习笔记-安装Kerberos
在启用了Kerberosambari集群上添加组件
CarbonDioxide12138的博客
10-12 594
在启用了Kerberosambari集群上添加组件背景步骤1 .修复安装服务时卡在install pending的异常2.添加服务3.分发keytab4.重启已添加的服务5.修改yarn队列配置文件 fair-scheduler.xml 背景 有一个项目的ambari集群启用了Kerberos认证,总共有24台机器,只有5台机器部署了NodeManger,可用资源只有220G,60核,高峰期业务排队时间较长,同时其他机器资源利用率低,业主希望在所有机器上都部署上yarn,提供作业并行度。 步骤 1 .修复
解决Ambari启用KerberosHDFS/YARN/SPARK等页面无法打开问题
OMars的博客
08-23 3355
Ambari启用Kerberos认证后HDFS/YARN/SPARK等相关的组件的web页面都无访问了,提示要登录,401: Authorization required。 Ambari版本2.7.3.0 这个问题,可以通过两个办法解决 配置本机的kerberos认证,登录可以访问的user 配置组件服务的页面匿名访问 我本人使用的是Mac,自带了kerberos,但是使用前最好做一下版本更新 brew upgrade krb5 方法一 1.配置 可以将服务器krb5.conf配置放到本地默认目录下,
HDFS配置Kerberos认证
热门推荐
wulantian的专栏
12-26 4万+
HDFS配置Kerberos认证 2014.11.04 本文主要记录 CDH Hadoop 集群上配置 HDFS 集成 Kerberos 的过程,包括 Kerberos 的安装和 Hadoop 相关配置修改说明。 注意: 下面第一、二部分内容,摘抄自《Hadoop的kerberos的实践部署》,主要是为了对 Hadoop 的认证机制和 Kerberos 认证协议做个简单
卸载ambari集群(内含卸载脚本)
iris_csdn的博客
11-04 2190
cdh集群有官方卸载文档链接(博客下方): Uninstalling Cloudera Manager and Managed Software | 6.2.x | Cloudera Documentation 一、ambari-web 页面停服务 进入维护模式,免报警 Host--->All Host-->Hosts-->Turn on Maintance Mode Dashboard---> Stop all ambari-web卸载前确保集群所有服务进程已.
Kerberos】配置浏览器可访问开启了kerberosambari Web UI
人生所向,皆是美好
03-04 2346
开启了Kerberos后发现集群中好多webui界面都打不开了,需要认证 按下面步骤配置即可: 本机安装kerberos客户端 (mac默认就安装了) 下载/etc/krb5.conf到本机对应位置 下载/etc/security/keytabs/smokeuser.headless.keytab到本机 在本机执行kinit -kt smokeuser.headless.keyta...
Hortonworks数据平台:Ambari中文安装教程-亲测有效
8. **安全配置**:Ambari也支持实施安全性策略,如Kerberos认证,以保护集群的数据安全。 9. **维护和更新**:Ambari可以用于更新集群组件到新版本,同时确保服务的连续性和数据完整性。 文档的6.1章节"Example ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值