基于ambari+hdfs 搭建Kerberos集群

最新推荐文章于 2023-08-04 23:34:49 发布
最新推荐文章于 2023-08-04 23:34:49 发布
阅读量1.5k 收藏 3
点赞数 1
分类专栏: spark hadoop 文章标签: Kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dymkkj/article/details/88595346
版权
spark 同时被 2 个专栏收录
34 篇文章 0 订阅
订阅专栏
hadoop
14 篇文章 0 订阅
订阅专栏


1.下载jce并解压至JAVA_HOME/jre/lib/security目录下,AMbari所有节点均需要
http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html
unzip -o -j -q jce_policy-8.zip -d   $JAVA_HOME/jre/lib/security  (避免软链接)
 

2.Kdc server 安装 kerberos ,其他节点不需要安装
yum install krb5-server krb5-libs krb5-workstation


3.kdc server 节点配置文件

(1) kerberos 服务日志
vim /etc/krb5.conf 


[libdefaults]
  renew_lifetime = 7d
  forwardable = true
  default_realm = GAI.COM
  ticket_lifetime = 24h
  dns_lookup_realm = false
  dns_lookup_kdc = false
  default_ccache_name = /tmp/krb5cc_%{uid}
  #default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
  #default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5

[logging]
  default = FILE:/var/log/krb5kdc.log
  admin_server = FILE:/var/log/kadmind.log
  kdc = FILE:/var/log/krb5kdc.log

[realms]
  GAI.COM = {
    admin_server = server.gai.test.com
    kdc = server.gai.test.com
  }

(2)  kdc 秘钥配置文件
vim /var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
  GAI.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }
              
 
(3)keberos访问控制列表
vim /var/kerberos/krb5kdc/kadm5.acl

*/admin@GAI.COM    *  
*/dp@GAI.COM    *  #此处应用访问需要,配置时,把该注释去掉,避免影响配置文件加载出错
                    

(4)修改上面配置文件中日志文件访问权限,避免权限问题:
chmod 666 /var/log/kadmind.log
chmod 666 /var/log/krb5kdc.log

3.非kdc server 从节点(或者从kdc server节点进行scp拷贝到 /etc 下面): 如果启动时,发现错误,反复检查,配置是否正确(防火墙,selinux是否关闭)

# GAI.COM 与下面[realms]保持一致
vim /etc/krb5.conf 
[libdefaults]
  renew_lifetime = 7d
  forwardable = true
  default_realm = GAI.COM
  ticket_lifetime = 24h
  dns_lookup_realm = false
  dns_lookup_kdc = false
  default_ccache_name = /tmp/krb5cc_%{uid}
  #default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
  #default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5

[logging]
  default = FILE:/var/log/krb5kdc.log
  admin_server = FILE:/var/log/kadmind.log
  kdc = FILE:/var/log/krb5kdc.log

[realms]
  GAI.COM = {
    admin_server = server.gai.test.com
    kdc = server.gai.test.com
  }

4.创建数据库:(如果/var/kerberos/krb5kdc有principal* 开头文件,全部删除;或者创建过程中报错,删除重建,如果仍然不行:在ambari上Disabled kerberos ,删除下每个节点  /etc/security/keytabs/下的所有文件)
cd   /etc/security/keytabs/
rm -rf *

kdb5_util create –s -r GAI.COM 


5.创建管理员
命令进入:kadmin.local 
执行命令:addprinc  admin/admin@GAI.COM


6.在kdc server重启 kadmin,krb5kdc, 集群上重启 ambari(ambari-server,ambari-agent)
kdc server所在节点:
service kadmin restart 
service krb5kdc restart 


停止:
ambari-agent节点:
ambari-agent stop 
ambari-server节点:
ambari-server stop


启动:
ambari-server节点:
ambari-server start
ambari-agent节点
ambari-agent start


## 可以设置 kdc开机启动(生产一般不会停机)
chkconfig krb5kdc on
chkconfig kadmin on

7.在ambari启动kerberos,并测试

kadmin -p admin/admin


8.kerkeros 客户端所在节点(非KDC server 节点)安装kerberos 客户端软件
yum install   krb5-workstation

 

 

9.ambari 启动 Kerberos配置

a.右上角找到admin选项:

 

b.选择已存在,现有MIT KDC(已经安装了KDC)


 

 

c.输入 kdc hosts(安装KDC server的hostname), Realm name

 

d.点击下一步:

 

 

10.测试

1.登录 kadmin.local (非kdc host 使用 kadmin -p admin/admin   ,密码是之前创建kdbutil的密码

创建用户:

addprinc  dp/admin@GAI.COM (本地访问秘钥)

addprinc  HTTP/admin@GAI.COM    (HTTP 代理访问)

 

2.生成秘钥(有过期时间)

xst -k dp.admin.keytab dp/admin

xst -k http.admin.keytab HTTP/admin

 

(也可以指定编码方式,用于无法生成正确加密方式的秘钥,根据其他系统服务秘钥的加密种类生成秘钥:

指定加密,解密方式:
xst -e  aes128-cts-hmac-sha1-96,arcfour-hmac,des-cbc-md5,des3-cbc-sha1,aes256-cts-hmac-sha1-96 -k smokeuser.headless.keytab -q ambari-qa-geotmt@EXAMPLE.COM)

3.本地初始化秘钥,生成Ticket Cache:

kinit -kt dp.admin.keytab  dp/admin

 

4.测试hdfs,发现不再报错:

hdfs  dfs -ls  / 

 

 

11.遇到的问题

ambari test kerberos client时日志文件权限问题:
 1.Couldn't open log file /var/log/kadmind.log: 权限不够

 修改权限:
 chmod 777   /var/log/kadmind.log 

如果不慎把keytab 删除(删除了 /etc/security/keytabs下的文件),在禁用kerberos时出现报错Key table file '/etc/security/keytabs/smokeuser.headless.keytab' not found while getting initial credentials
Client 'ambari-qa-geotmt@GAI.COM' not found in Kerberos database while getting initial credentials

解决:
kadmin.local 进入创建该keytab
xst -k smokeuser.headless.keytab ambari-qa-geotmt@GAI.COM

hadoop定位错误:以前自己经常用的,时间长了也会混忘:  /var/log/hadoop/hdfs/hadoop-hdfs-datanode-snamenode.gai.test.com.out 真正的日志在  /var/log/hadoop/hdfs/hadoop-hdfs-datanode-snamenode.gai.test.com.log
out

 

12:ambar使用hdfs超级用户修改所有用户的创建文件的属主,属组,相当于Linux的root

su - hdfs 

hdfs dfs   -chown  -R  gai:gai    hdfs://192.168.0.1:8020/usr/gai/

青山流水在深谷
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ssh单点登入-第一步 配置mac和kerberos认证
03-30 1054
基础 系统 Centos 7 目标 mac ==> Kerberos 验证权限,获取ticket 服务器端安装 安装软件 sudo yum install krb5-server krb5-libs pam_krb5 -y 修改配置文件 krb5.conf kerberos的配置文件 下面是配置文件详解 配置文件参考文档 提前设置后配置文件中用到的域名解析. kerberos.yufuid....
Kerberos】配置浏览器可访问开启了kerberosambari Web UI
人生所向,皆是美好
03-04 2200
开启了Kerberos后发现集群中好多webui界面都打不开了,需要认证 按下面步骤配置即可: 本机安装kerberos客户端 (mac默认就安装了) 下载/etc/krb5.conf到本机对应位置 下载/etc/security/keytabs/smokeuser.headless.keytab到本机 在本机执行kinit -kt smokeuser.headless.keyta...
ambari安装及搭建hadoop大数据集群
01-21
ambari详细安装教程,已经ambari安装完成后详细的部署hadoop大数据集群
大数据:基于Docker离线部署2.7.4版本ambari及启用kerberos安全认证(物理机同理)
03-17
1.离线部署ambari 2.7.4及HDP大数据组件服务(提供离线wangpan资源) 2.基于Docker部署(物理机部署同理) 3.开启kerberos权限认证服务,并提供相关Demo 4.支持HDFS、Spark、Yarn、MapReduce、Hive、Pig、 HBase、Zookeeper、Sqoop和Hcatalog等 5.很详细的文档,包括各种可能出现的Bug
Ambari生产集群搭建
01-07
Ambari + HDP 企业级大数据平台搭建详细过程
Centos7.2安装Ambari2.4.2+HDP2.5.3搭建Hadoop集群
11-18
Centos7.2安装Ambari2.4.2+HDP2.5.3搭建Hadoop集群 http://public-repo-1.hortonworks.com/ambari/centos7/2.x/updates/2.4.2.0/ambari-2.4.2.0-centos7.tar.gz
esxi6.5环境下centos6.5+ambari+HDP+ELK+neo4j集群搭建
03-19
各产品软件版本 centos 6.5 esxi 6.5 SSH 5.3 JDK 1.8_131 MAVEN 3.6 TOMCAT 8 Mysql 5.6 Ambari 2.4 HDP 2.4 ElasticSearch 6.5.1 Kibana 6.5.1 Logstash 6.5.1 Neo4j 3.4 基于EXSI6.5环境下centos6系统搭建ambari+HDP+elasticsearch+kibana+logstash+neo4j集群搭建教程,教程共54页,10000+以上字数
CDH6.2环境中启用Kerberos
我思,故我在!--My data life
06-27 8970
一、Kerberos概述: Kerberos是一个用于安全认证第三方协议,并不是Hadoop专用,你也可以将其用于其他系统,它采用了传统的共享密钥的方式,实现了在网络环境不一定保证安全的环境下,client和server之间的通信,适用于client/server模型,由MIT开发和实现。而使用Cloudera Manager可以较为轻松的实现界面化的Kerberos集成, Ker...
Can’t open the log file: Permission denied
heyu996的博客
08-04 2438
docker下启动redis报Can't open the log file: Permission denied错误
金仓数据库KingbaseES安全指南--6.3. Kerberos身份验证
arthemis_14的博客
08-01 807
金仓数据库KingbaseES安全指南--6.3. Kerberos身份验证
hadoop:在hfds下删除文件can not found file
weixin_30699831的博客
01-10 145
在浏览hdfs上面的文件的时候,要在hadoop的安装目录下 [hadoop@master hadoop-0.20.2]$bin/hadoop fs -ls 进行查看,但是想要删除hdfs里面的文件,路径就需要是hdfs的专属路径,因为hdfs的文件路径和linux的本地路径是完全两套系统 例如想删除file01文件 [hadoop@master hadoop-0.20.2]$bin/ha...
Kerberos主KDC数据库同步到从KDC报错:Key table entry not found while getting initial credentials
07-08 3396
***报错详情:*** Kerberos开启高可用模式,主KDC数据库同步到从KDC时执行命令: `kprop -f /var/kerberos/krb5kdc/slave_datatrans slavehost` 报错: ``` Error:kprop: Key table entry not found while getting initial credentials? ``` ***解决办法:*** 1.查看文件/etc/krb5.conf配置是否修改正确(如KDC服务器端口不为默认的88,则需要在
解决Ambari启用KerberosHDFS/YARN/SPARK等页面无法打开问题
OMars的博客
08-23 2920
Ambari启用Kerberos认证后HDFS/YARN/SPARK等相关的组件的web页面都无访问了,提示要登录,401: Authorization required。 Ambari版本2.7.3.0 这个问题,可以通过两个办法解决 配置本机的kerberos认证,登录可以访问的user 配置组件服务的页面匿名访问 我本人使用的是Mac,自带了kerberos,但是使用前最好做一下版本更新 brew upgrade krb5 方法一 1.配置 可以将服务器krb5.conf配置放到本地默认目录下,
Kafka-Kerberos [2]- "kprop: Key table entry not found while getting initial credentials"
qq_43552708的博客
04-19 2302
Kafka-Kerberos [2]- "kprop: Key table entry not found while getting initial credentials" 关于Kerberos KDC主从搭建的帖子有很多,大体的思路都对,但是动手实际搭建一套KDC主从环境就可以发现某些帖子写得还是有些许问题的,这里推荐两个比较好的手册: Kerberos官方文档: http://web.m...
Ambari集成Kerberos报错汇总
weixin_34419321的博客
12-14 1061
                  Ambari集成Kerberos报错汇总                                        作者:尹正杰  版权声明:原创作品,谢绝转载!否则将追究法律责任。           一.查看报错的配置信息步骤 1>.点击Test Kerberos Client,查看相应日志信息   2>.查看具体是哪台机器出现问题   ...
Kerberosambari启用kerberos 报错处理
人生所向,皆是美好
03-02 5634
文章目录一、 ambari中启用kerberos报错Invalid KDC administrator credentials. Please enter admin principal and password.二、Can not fetch master key (error: No such file or directory). while initializing kadmin.loca...
卸载ambari集群(内含卸载脚本)
iris_csdn的博客
11-04 1931
cdh集群有官方卸载文档链接(博客下方): Uninstalling Cloudera Manager and Managed Software | 6.2.x | Cloudera Documentation 一、ambari-web 页面停服务 进入维护模式,免报警 Host--->All Host-->Hosts-->Turn on Maintance Mode Dashboard---> Stop all ambari-web卸载前确保集群所有服务进程已.
Kerberos认证(一)——简明详细的安装和说明
笑里笑外~
12-21 3101
Kerberos认证(一)——超详细的安装和说明 文章目录Kerberos认证(一)——超详细的安装和说明准备一、安装Kerberos server安装指令修改krb5.conf配置kdc.conf配置kadm5.acl创建数据库启动服务创建管理员二、安装Kerberos client安装修改配置测试kadmin三、常见操作指令Kerberos常用命令kadmin模式下常用命令总结 准备 两台Centos7机器: 机器 服务 192.168.44.132 Kerberos server(
Kerberos安装及Hadoop搭建提高安全性
huyuleizj的博客
03-08 986
Kerberos安装 前期准备 你可能需要: JDKbyacc.x86_64 ntp yum install byacc byaccj chkconfig ntpd on && service ntpd start 我这台机器是当时编译Hadoop源码的机器,可能有些譬如C++之类的环境已经配置了。 不过没关系,大家编译中的报错应该可以直接找到少哪些
ambari+hdp3.0版本网盘下载
最新发布
12-30
Ambari HDP 3.0是一种开源的集群管理工具,用于在Hadoop分发式系统中监控、管理和维护集群。它提供了一个图形用户界面,使用户可以通过网页浏览器轻松地管理Hadoop集群。 要下载Ambari HDP 3.0版本,您可以按照以下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值