HDFS上配置kerberos(十一)

最新推荐文章于 2024-04-27 01:22:46 发布
最新推荐文章于 2024-04-27 01:22:46 发布
阅读量2.6k 收藏 1
点赞数 1
分类专栏: kerberos 文章标签: hadoop kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/forever19870418/article/details/68945850
版权
一、创建认证规则
二、创建Keytab文件
三、部署Kerberos Keytab文件
四、修改HDFS配置文件,包括
1)core-site.xml
2)hdfs-site.xml
五、启动namenode
六、启动datanode

步骤实施
1、创建认证规则
 [root@cdh1 training]# kadmin.local -q "addprinc -randkey hdfs/cdh1@ZGP.COM"
Authenticating as principal root/admin@ZGP.COM with password.
WARNING: no policy specified for hdfs/cdh1@ZGP.COM; defaulting to no policy
Principal "hdfs/cdh1@ZGP.COM" created.
[root@cdh1 training]#
[root@cdh1 training]# kadmin.local -q "addprinc -randkey hdfs/cdh2@ZGP.COM"
[root@cdh1 training]# kadmin.local -q "addprinc -randkey hdfs/cdh3@ZGP.COM"
[root@cdh1 training]# kadmin.local -q "addprinc -randkey HTTP/cdh1@ZGP.COM"
[root@cdh1 training]# kadmin.local -q "addprinc -randkey HTTP/cdh2@ZGP.COM"
[root@cdh1 training]# kadmin.local -q "addprinc -randkey HTTP/cdh3@ZGP.COM"

[root@cdh1 training]# kadmin
Authenticating as principal root/admin@ZGP.COM with password.
Password for root/admin@ZGP.COM: 
kadmin:  list_principals
HTTP/cdh1@ZGP.COM
HTTP/cdh2@ZGP.COM
HTTP/cdh3@ZGP.COM
K/M@ZGP.COM
hdfs/cdh1@ZGP.COM
hdfs/cdh2@ZGP.COM
hdfs/cdh3@ZGP.COM
kadmin/admin@ZGP.COM
kadmin/cdh1@ZGP.COM
kadmin/changepw@ZGP.COM
krbtgt/ZGP.COM@ZGP.COM
root/admin@ZGP.COM
kadmin:  


2、创建keytab文件
[root@cdh1 training]# cd /var/kerberos/krb5kdc
[root@cdh1 krb5kdc]# kadmin.local -q "xst -k hdfs-unmerged.keytab hdfs/cdh1@ZGP.COM"
Authenticating as principal root/admin@ZGP.COM with password.
Entry for principal hdfs/cdh1@ZGP.COM with kvno 2, encryption type aes256-cts-hmac-sha1-96 added to keytab WRFILE:hdfs-unmerged.keytab.
Entry for principal hdfs/cdh1@ZGP.COM with kvno 2, encryption type aes128-cts-hmac-sha1-96 added to keytab WRFILE:hdfs-unmerged.keytab.
Entry for principal hdfs/cdh1@ZGP.COM with kvno 2, encryption type des3-cbc-sha1 added to keytab WRFILE:hdfs-unmerged.keytab.
Entry for principal hdfs/cdh1@ZGP.COM with kvno 2, encryption type arcfour-hmac added to keytab WRFILE:hdfs-unmerged.keytab.
Entry for principal hdfs/cdh1@ZGP.COM with kvno 2, encryption type des-hmac-sha1 added to keytab WRFILE:hdfs-unmerged.keytab.
Entry for principal hdfs/cdh1@ZGP.COM with kvno 2, encryption type des-cbc-md5 added to keytab WRFILE:hdfs-unmerged.keytab.
[root@cdh1 krb5kdc]#
[root@cdh1 krb5kdc]# kadmin.local -q "xst -k hdfs-unmerged.keytab hdfs/cdh2@ZGP.COM"
[root@cdh1 krb5kdc]# kadmin.local -q "xst -k hdfs-unmerged.keytab hdfs/cdh3@ZGP.COM"


[root@cdh1 krb5kdc]# klist -ket hdfs-unmerged.keytab
Keytab name: WRFILE:hdfs-unmerged.keytab
KVNO Timestamp         Principal
---- ----------------- --------------------------------------------------------
   2 04/01/17 03:42:28 hdfs/cdh1@ZGP.COM (des3-cbc-sha1) 
   2 04/01/17 03:42:28 hdfs/cdh1@ZGP.COM (arcfour-hmac) 
   2 04/01/17 03:42:28 hdfs/cdh1@ZGP.COM (des-hmac-sha1) 
   2 04/01/17 03:42:28 hdfs/cdh1@ZGP.COM (des-cbc-md5) 
   2 04/01/17 03:42:33 hdfs/cdh2@ZGP.COM (des3-cbc-sha1) 
   2 04/01/17 03:42:33 hdfs/cdh2@ZGP.COM (arcfour-hmac) 
   2 04/01/17 03:42:33 hdfs/cdh2@ZGP.COM (des-hmac-sha1) 
   2 04/01/17 03:42:33 hdfs/cdh2@ZGP.COM (des-cbc-md5) 
   2 04/01/17 03:42:37 hdfs/cdh3@ZGP.COM (des3-cbc-sha1) 
   2 04/01/17 03:42:37 hdfs/cdh3@ZGP.COM (arcfour-hmac) 
   2 04/01/17 03:42:38 hdfs/cdh3@ZGP.COM (des-hmac-sha1) 
   2 04/01/17 03:42:38 hdfs/cdh3@ZGP.COM (des-cbc-md5)
[root@cdh1 krb5kdc]#

[root@cdh1 krb5kdc]# kadmin.local -q "xst -k HTTP.keytab HTTP/cdh1@ZGP.COM"
[root@cdh1 krb5kdc]# kadmin.local -q "xst -k HTTP.keytab HTTP/cdh2@ZGP.COM"
[root@cdh1 krb5kdc]# kadmin.local -q "xst -k HTTP.keytab HTTP/cdh3@ZGP.COM"

[root@cdh1 krb5kdc]# klist -ket HTTP.keytab
Keytab name: WRFILE:HTTP.keytab
KVNO Timestamp         Principal
---- ----------------- --------------------------------------------------------
   2 04/01/17 03:43:15 HTTP/cdh1@ZGP.COM (des3-cbc-sha1) 
   2 04/01/17 03:43:15 HTTP/cdh1@ZGP.COM (arcfour-hmac) 
   2 04/01/17 03:43:15 HTTP/cdh1@ZGP.COM (des-hmac-sha1) 
   2 04/01/17 03:43:15 HTTP/cdh1@ZGP.COM (des-cbc-md5) 
   2 04/01/17 03:43:18 HTTP/cdh2@ZGP.COM (des3-cbc-sha1) 
   2 04/01/17 03:43:19 HTTP/cdh2@ZGP.COM (arcfour-hmac) 
   2 04/01/17 03:43:19 HTTP/cdh2@ZGP.COM (des-hmac-sha1) 
   2 04/01/17 03:43:19 HTTP/cdh2@ZGP.COM (des-cbc-md5) 
   2 04/01/17 03:43:22 HTTP/cdh3@ZGP.COM (des3-cbc-sha1) 
   2 04/01/17 03:43:22 HTTP/cdh3@ZGP.COM (arcfour-hmac) 
   2 04/01/17 03:43:22 HTTP/cdh3@ZGP.COM (des-hmac-sha1) 
   2 04/01/17 03:43:22 HTTP/cdh3@ZGP.COM (des-cbc-md5)
[root@cdh1 krb5kdc]#
合并keytab文件
[root@cdh1 krb5kdc]# ktutil
ktutil:  rkt hdfs-unmerged.keytab
ktutil:  rkt HTTP.keytab
ktutil:  wkt hdfs.keytab
ktutil:  q
[root@cdh1 krb5kdc]#
验证
[root@cdh1 krb5kdc]# kinit -k -t hdfs.keytab hdfs/cdh1@ZGP.COM
[root@cdh1 krb5kdc]# kinit -k -t hdfs.keytab HTTP/cdh1@ZGP.COM
[root@cdh1 krb5kdc]#
缓存的信息
[root@cdh1 krb5kdc]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: HTTP/cdh1@ZGP.COM


Valid starting     Expires            Service principal
03/31/17 03:28:19  04/01/17 03:28:19  krbtgt/ZGP.COM@ZGP.COM
        renew until 04/07/17 03:28:19
[root@cdh1 krb5kdc]#


3、部署Kerberos Keytab文件
[root@cdh1 krb5kdc]# cp hdfs.keytab /etc/hadoop/conf
[root@cdh1 krb5kdc]# scp hdfs.keytab cdh2:/etc/hadoop/conf
hdfs.keytab                                                                               100% 2066     2.0KB/s   00:00    
[root@cdh1 krb5kdc]# scp hdfs.keytab cdh3:/etc/hadoop/conf
hdfs.keytab                                                                               100% 2066     2.0KB/s   00:00    
[root@cdh1 krb5kdc]#
权限与用户组修改
[root@cdh1 krb5kdc]# cd /etc/hadoop/conf
[root@cdh1 conf]# ll | grep keytab
-rw------- 1 root root  2066 Mar 31 03:32 hdfs.keytab
[root@cdh1 conf]# chown hdfs:hadoop hdfs.keytab 
[root@cdh1 conf]# chmod 400 hdfs.keytab 
[root@cdh1 conf]# ll | grep keytab
-r-------- 1 hdfs hadoop  2066 Mar 31 03:32 hdfs.keytab
[root@cdh1 krb5kdc]# ssh cdh2 chown hdfs:hadoop /etc/hadoop/conf/hdfs.keytab
[root@cdh1 krb5kdc]# ssh cdh2 chmod 400 /etc/hadoop/conf/hdfs.keytab
[root@cdh1 krb5kdc]# ssh cdh3 chown hdfs:hadoop /etc/hadoop/conf/hdfs.keytab
[root@cdh1 krb5kdc]# ssh cdh3 chmod 400 /etc/hadoop/conf/hdfs.keytab
[root@cdh1 ~]# slaves.sh ls -l /etc/hadoop/conf/hdfs.keytab
cdh3: -r-------- 1 hdfs hadoop 2066 Mar 31 03:32 /etc/hadoop/conf/hdfs.keytab
cdh2: -r-------- 1 hdfs hadoop 2066 Mar 31 03:32 /etc/hadoop/conf/hdfs.keytab
[root@cdh1 ~]#


4、修改HDFS配置文件,包括
在修改配置文件前,先停掉所有hadoop服务

[root@cdh1 ~]# for S in `cd /etc/init.d;ls hadoop*`; do echo $S; done
hadoop-hdfs-namenode
hadoop-hdfs-secondarynamenode
hadoop-httpfs
hadoop-mapreduce-historyserver
hadoop-yarn-proxyserver
hadoop-yarn-resourcemanager
[root@cdh1 ~]#
关闭服务时请注意执行顺序
[root@cdh2 conf]# for S in `cd /etc/init.d;ls hadoop*`; do service $S stop; done
[root@cdh3 conf]# for S in `cd /etc/init.d;ls hadoop*`; do service $S stop; done
[root@cdh1 ~]# for S in `cd /etc/init.d;ls hadoop*`; do service $S stop; done


修改core-site.xml
[root@cdh1 conf]# vi core-site.xml
<property>
  <name>hadoop.security.authentication</name>
  <value>kerberos</value>
 </property>

 <property>
  <name>hadoop.security.authorization</name>
  <value>true</value>
 </property>

修改hdfs-site.xml

<!--kerberos security-->
 <property>
  <name>dfs.block.access.token.enable</name>
  <value>true</value>
 </property>

 <property>
  <name>dfs.datanode.data.dir.perm</name>
  <value>700</value>
 </property>

 <property>
  <name>dfs.namenode.keytab.file</name>
  <value>/etc/hadoop/conf/hdfs.keytab</value>
 </property>

 <property>
  <name>dfs.namenode.kerberos.principal</name>
  <value>hdfs/_HOST@ZGP.COM</value>
 </property>

 <property>
  <name>dfs.namenode.kerberos.https.principal</name>
  <value>HTTP/_HOST@ZGP.COM</value>
 </property>

 <property>
  <name>dfs.datanode.keytab.file</name>
  <value>/etc/hadoop/conf/hdfs.keytab</value>
 </property>

 <property>
  <name>dfs.datanode.kerberos.principal</name>
  <value>hdfs/_HOST@ZGP.COM</value>
 </property>

 <property>
  <name>dfs.datanode.kerberos.https.principal</name>
  <value>HTTP/_HOST@ZGP.COM</value>
 </property>

 <property>
  <name>dfs.datanode.address</name>
  <value>0.0.0.0:1004</value>
 </property>

 <property>
  <name>dfs.datanode.http.address</name>
  <value>0.0.0.0:1006</value>
 </property>

<!--webHDFS security-->

 <property>
  <name>dfs.webhdfs.enabled</name>
  <value>true</value>
 </property>

 <property>
  <name>dfs.web.authentication.kerberos.keytab</name>
  <value>/etc/hadoop/conf/hdfs.keytab</value>
 </property>

 <property>
  <name>dfs.web.authentication.kerberos.principal</name>
  <value>HTTP/_HOST@ZGP.COM</value>
 </property>

5、启动namenode
确保缓存没有ticket
[ root@cdh1 conf]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: HTTP/cdh1@ZGP.COM


Valid starting     Expires            Service principal
03/31/17 03:28:19  04/01/17 03:28:19  krbtgt/ZGP.COM@ZGP.COM
        renew until 04/07/17 03:28:19
[root@cdh1 conf]# kdestroy 
[root@cdh1 conf]# klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)
[root@cdh1 conf]#
[root@cdh1 conf]# kinit -k -t /etc/hadoop/conf/hdfs.keytab hdfs/cdh1@ZGP.COM  <==获取tgt
[root@cdh1 conf]# /etc/init.d/hadoop-hdfs-namenode start
Starting Hadoop namenode:[  OK  ]
starting namenode, logging to /var/log/hadoop-hdfs/hadoop-hdfs-namenode-cdh1.out
[root@cdh1 conf]# jps
4301 NameNode
4347 Jps
[root@cdh1 conf]# hdfs dfs -ls /
Found 3 items
drwxrwxrwt   - hdfs hadoop          0 2017-03-29 22:40 /tmp
drwx------   - hdfs hadoop          0 2017-03-29 22:44 /user
drwxr-xr-x   - hdfs hadoop          0 2017-03-29 04:24 /yarn
[root@cdh1 conf]#
[root@cdh1 conf]# ssh cdh2 kinit -kt /etc/hadoop/conf/hdfs.keytab hdfs/cdh2@ZGP.COM
[root@cdh1 conf]# ssh cdh3 kinit -kt /etc/hadoop/conf/hdfs.keytab hdfs/cdh3@ZGP.COM
[root@cdh1 conf]#
[root@cdh2 training]# /etc/init.d/hadoop-hdfs-datanode start
[root@cdh3 training]# /etc/init.d/hadoop-hdfs-datanode start
此时datanode异常报如下错误
2017-04-01 04:05:44,790 WARN org.apache.hadoop.hdfs.server.datanode.DataNode: Problem connecting to server: cdh1/192.168.123.20:8020
解决方法:
[root@cdh2 default]# cd /etc/default/
[root@cdh2 default]# vi hadoop-hdfs-datanode
export HADOOP_SECURE_DN_USER=hdfs
export HADOOP_SECURE_DN_PID_DIR=/var/run/hadoop-hdfs
export HADOOP_SECURE_DN_LOG_DIR=/var/log/hadoop-hdfs
export JSVC_HOME=/usr/lib/bigtop-utils
~

[root@cdh2 default]# scp hadoop-hdfs-datanode cdh3:/etc/default/

重新启动datanode服务即可

forever19870418
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HDFS_Kerberos
slyang的博客
07-09 588
1 pom.xml &lt;dependencies&gt; &lt;!-- 这里的dependency可以只引用 `hadoop-client`,或者同时引用`hadoop-common`和`hadoop-hdfs` --&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.hadoop&lt;/...
HDFS集群整合Kerberos配置步骤
煉心的博客
05-25 4692
1 概述本文档用于HDFS整合Kerberos配置的详细步骤说明,版本分别为2.7.3和1.16。2 前提条件假设已有安装配置好的HDFS集群和YARN,本文使用4台服务器,角色分别为:192.168.1.10:NameNode、SecondaryNameNode、ResourceManager192.168.1.11:DataNode、NodeManager192.168.1.12:DataNo...
Javaweb访问Hdfs--Kerberos认证
aimangqi8019的博客
08-22 472
开启kerberos debug模式: System.set("java.security.krb5.debug","true"); windows客户端进行kerberos认证: 默认读取的配置文件:C:/Windows/krb5.ini,对应的文件要修改和kerberos server上对应配置,否则认证失败。 转载于:https://www.cnblo...
Hadoop 配置 Kerberos 认证_hadoop kerberos认证
最新发布
2401_84185182的博客
04-27 435
rw-r–r–. 1 root root 1298 10月 5 17:14 bd_ca_cert。-rw-r–r–. 1 root root 1834 10月 5 17:14 bd_ca_key。
自建大数据集群因kerberos认证无法进入hdfs Web UI问题
Flake
11-15 2280
关于mac本机访问webdfs的kerberos认证问题的解决方式 问题如下: 解决方案: 获取到生成的keytab文件到本地。 创建/etc/krb5.conf [libdefaults] dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 1h renew_lifetime = 7d max_life = 12h 0m 0s forwardable = true udp_preference_limit
hdfs集群间kerberos互信配置
snail_bing的博客
09-13 2402
1.修改hdfs配置 在两个集群的hdfs-site.xml中添加以下内容: <property> <name>dfs.namenode.rpc-bind-host</name> <value>0.0.0.0</value> <description></description> </property> <property> <name>dfs.namenode.servic
hdfs配置kerberos
10-27
"HDFS 配置 Kerberos" 本文档记录了为 HadoopHDFS 配置 Kerberos 的过程,Hadoop 的版本是 2.4.1。Kerberos 是一种常用的身份验证协议,用于提供安全的身份验证机制。在 Hadoop 中,Kerberos 可以用于 HDFS 和 ...
Hadoop部署和配置Kerberos安全认证
05-17
Hadoop部署和配置Kerberos安全认证全套流程。已经过实测并部署与生产环境。
python3.6.5基于kerberos认证的hive和hdfs连接调用方式
09-16
总的来说,使用Kerberos认证的Python连接Hive和HDFS需要安装正确的依赖、配置Kerberos环境,并正确地编写Python代码来利用Kerberos进行身份验证。这个过程虽然复杂,但是一旦设置成功,就能提供安全且可靠的访问控制...
大数据环境配置文件hdfs
12-13
HDFS使得应用程序可以在廉价硬件上存储和处理海量数据。本文将深入探讨如何在虚拟机环境中配置HDFS的XML参数文件,以及这些配置Hadoop生态系统的影响。 首先,我们要关注两个主要的配置文件:`core-site.xml`和`...
kerberos安全认证
12-29
HDFS配置中,设置`dfs.namenode.kerberos.principal`和`dfs.datanode.kerberos.principal`等参数。 - **HBase**: HBase同样支持Kerberos,确保数据存储和访问的安全。配置`hbase.security.authentication=...
Flink支持kerberos认证
qq_30529079的博客
12-12 2140
完成flink kafka认证
【FLinlk】Flink小坑之kerberos动态认证
九师兄
06-09 4289
1.概述 转载并且补充:Flink小坑之kerberos动态认证 2.官网 这段内容摘抄自官网:Kerberos Authentication Setup and Configuration 配置Kerberos-based Authentication / Authorization Flink 通过 Kafka 连接器提供了一流的支持,可以对 Kerberos 配置的 Kafka 安装进行身份验证。只需在 flink-conf.yaml 中配置 Flink。像这样为 Kafka 启用 Kerbero
Hadoop开启Kerberos安全模式
木木与呆呆的专栏
11-20 3168
Hadoop开启Kerberos安全模式, 基于已经安装好的Hadoop的2.7.1环境, 在此基础上开启Kerberos安全模式。 1.安装规划 已经安装好Hadoop的环境 10.43.159.7 zdh-7 hdfsone/zdh1234 Kerberos服务器 10.43.159.11 zdh-11 kerberos server 2.创建用户的k...
HDFS的安全身份验证
互联网知识分享
07-23 979
hadoop.security.group.mapping.ldap.bind.password.file:指定了LDAP服务器管理员用户的密码文件。hadoop.security.group.mapping.ldap.search.filter.user:指定了用户查询过滤器。hadoop.security.group.mapping.ldap.search.filter.group:指定了组查询过滤器。dfs.namenode.keytab.file:指定了NameNode的服务密钥文件。
集群间配置kerberos互信
qq_36864672的博客
02-01 2060
本文档讲述通过配置tdh集群和tos集群某个租户两者间guardian互信,用户可以在两个集群登录操作hdfs,运用distcp工具将tdh集群中hdfs文件导入到tos租户hdfs。执行 hadoop fs -fs hdfs://192.168.100.104:8020 -ls / 和 hdfs dfs -ls / 是否都没问题。1.测试集群:以开发集群hdfs用户登录,然后分别访问开发集群和本地的hdfs。2.开发集群:以测试集群hd户登录,然后分别访问测试集群和本地的hdfs
HDFS配置Kerberos认证
热门推荐
wulantian的专栏
12-26 4万+
HDFS配置Kerberos认证 2014.11.04 本文主要记录 CDH Hadoop 集群上配置 HDFS 集成 Kerberos 的过程,包括 Kerberos 的安装和 Hadoop 相关配置修改说明。 注意: 下面第一、二部分内容,摘抄自《Hadoopkerberos的实践部署》,主要是为了对 Hadoop 的认证机制和 Kerberos 认证协议做个简单
SSL协议,加密算法,证书
u010047179的专栏
11-05 935
SSL Version     Cipher Name             Key Length(bits) SSLv2           DES-CBC3-MD5            168 SSLv2           IDEA-CBC-MD5            128 SSLv2           RC2-CBC-MD5             128 SSLv2  
OpenSSL命令---ciphers
VitalityShow(网络通讯)
10-29 2万+
该指令是用来展示用于SSL加密算法的工具。它能够把所有openssl支持的加密算法按照一定规律排列(一般是加密强度)。还详细介绍了各个参数以及相关的注意事项;列举出了SSL3/TLS1以及SSL2所支持的算法。
TDH配置kerberos
07-29
2. 为TDH集群中的每个节点配置Kerberos客户端:在每个TDH节点上,您需要安装和配置Kerberos客户端。这将涉及到编辑Kerberos客户端配置文件(通常是krb5.conf),并设置适当的Kerberos服务器和领域信息。 3. 配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值