kerberos-1.Kerberos安装(ambari平台开启)

最新推荐文章于 2024-06-25 09:00:00 发布
最新推荐文章于 2024-06-25 09:00:00 发布
阅读量479 收藏 2
点赞数
分类专栏: kerberos 文章标签: kerberos ambari
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_39319229/article/details/112692275
版权

一、安装配置kerberos

  1. 安装服务
yum -y install krb5-server krb5-libs krb5-workstation
  1. 修改配置文件krb5.conf
vi /etc/krb5.conf

主要修改图中红字所示
在这里插入图片描述

krb5.conf相关配置参数说明:
[logging]:
  Kerberos守护进程的日志记录方式。换句话说,表示 server 端的日志的打印位置。
default :默认的krb5libs.log日志文件存放路径
kdc :默认的krb5kdc.log日志文件存放路径
admin_server :默认的kadmind.log日志文件存放路径
[libdefaults]:
  Kerberos使用的默认值,当进行身份验证而未指定Kerberos域时,则使用default_realm参数指定的Kerberos域。即每种连接的默认配置,需要注意以下几个关键的配置:
dns_lookup_realm :DNS查找域名,我们可以理解为DNS的正向解析,该功能我没有去验证过,默认禁用。(我猜测该功能和domain_realm配置有关)
ticket_lifetime :凭证生效的时限,设置为7天。
rdns :我理解是和dns_lookup_realm相反,即反向解析技术,该功能我也没有去验证过,默认禁用即可。(我猜测该功能和domain_realm配置有关)
pkinit_anchors :在KDC中配置pkinit的位置,该参数的具体功能我没有做进一步验证。
default_realm = YINZHENGJIE.COM :设置 Kerberos 应用程序的默认领域。如果您有多个领域,只需向 [realms] 节添加其他的语句。其中YINZHENGJIE.COM可以为任意名字,推荐为大写。必须跟要配置的realm的名称一致。
default_ccache_name: :顾名思义,默认的缓存名称,不推荐使用该参数。
  
   renew_lifetime :凭证最长可以被延期的时限,一般为7天。当凭证过期之后,对安全认证的服务的后续访问则会失败。
   forwardable :如果此参数被设置为true,则可以转发票据,这意味着如果具有TGT的用户登陆到远程系统,则KDC可以颁发新的TGT,而不需要用户再次进行身份验证。
   renewable :是否允许票据延迟
[realms]:
  域特定的信息,例如域的Kerberos服务器的位置。可能有几个,每个域一个。可以为KDC和管理服务器指定一个端口。如果没有配置,则KDC使用端口88,管理服务器使用749。即列举使用的 realm域。
  kdc :代表要KDC的位置。格式是 机器:端口
  admin_server :代表admin的位置。格式是 机器:端口
default_domain :顾名思义,指定默认的域名。
[domain_realm]:
  指定DNS域名和Kerberos域名之间映射关系。指定服务器的FQDN,对应的domain_realm值决定了主机所属的域。
  
[kdc]:
  kdc的配置信息。即指定kdc.conf的位置。
  profile :kdc的配置文件路径,默认值下若无文件则需要创建。

  1. 修改配置文件kdc.conf
vi /var/kerberos/krb5kdc/kdc.conf

保证域名统一
在这里插入图片描述

kdc.conf参数说明:
[kdcdefaults]
  该部分包含在此文件中列出的所有通用的配置。
kdc_ports           :指定KDC的默认端口。
kdc_tcp_ports          :指定KDC的TCP协议默认端口。
[realms]
  该部分列出每个领域的配置。
YINZHENGJIE.COM    : 是设定的 realms。名字随意,推荐为大写!,但须与/etc/krb5.conf保持一致。Kerberos 可以支持多个 realms,会增加复杂度。大小写敏感。
master_key_type    : 默认为禁用,但如果需要256为加密,则可以下载Java加密扩展(JCE)并安装。禁用此参数时,默认使用128位加密。
  acl_file        : 标注了 admin 的用户权限的文件,若文件不存在,需要用户自己创建。即该参数允许为具有对Kerberos数据库的管理访问权限的UPN指定ACL。
supported_enctypes   : 指定此KDC支持的各种加密类型。
 admin_keytab      : KDC 进行校验的 keytab。
max_life         : 该参数指定如果指定为2天。这是票据的最长存活时间。
  max_renewable_life   : 该参数指定在多长时间内可重获取票据。
dict_file         : 该参数指向包含潜在可猜测或可破解密码的文件。

  1. 修改配置文件kadm5.acl
vi /var/kerberos/krb5kdc/kadm5.acl
---------------------------------------------------
# 域名统一
*/admin@BIGDATATEST.COM     *

kadm5.acl参数说明:
[kdcdefaults]
  该部分包含在此文件中列出的所有通用的配置。
kdc_ports           :指定KDC的默认端口。
kdc_tcp_ports          :指定KDC的TCP协议默认端口。
[realms]
  该部分列出每个领域的配置。
YINZHENGJIE.COM    : 是设定的 realms。名字随意,推荐为大写!,但须与/etc/krb5.conf保持一致。Kerberos 可以支持多个 realms,会增加复杂度。大小写敏感。
master_key_type    : 默认为禁用,但如果需要256为加密,则可以下载Java加密扩展(JCE)并安装。禁用此参数时,默认使用128位加密。
  acl_file        : 标注了 admin 的用户权限的文件,若文件不存在,需要用户自己创建。即该参数允许为具有对Kerberos数据库的管理访问权限的UPN指定ACL。
supported_enctypes   : 指定此KDC支持的各种加密类型。
 admin_keytab      : KDC 进行校验的 keytab。
max_life         : 该参数指定如果指定为2天。这是票据的最长存活时间。
  max_renewable_life   : 该参数指定在多长时间内可重获取票据。
dict_file         : 该参数指向包含潜在可猜测或可破解密码的文件。

  1. 创建kerberos数据库
kdb5_util create -r BIGDATATEST.COM -s
# 创建成功默认会在/var/kerberos/krb5kdc/目录下生成principal*数据库文件
  1. 启动CDC服务器
systemctl enable krb5kdc
systemctl start krb5kdc
systemctl status krb5kdc
  1. 启动kerberos服务器
systemctl enable kadmin
systemctl start kadmin
systemctl status kadmin
  1. KDC 服务器上添加超级管理员账户
#进入管理后台
kadmin.local  
# 添加管理用户
addprinc root/admin

二、ambari平台启用kerberos

  1. 点击开始应用kerberos
    在这里插入图片描述

  2. 根据需求选择
    在这里插入图片描述

  3. 配置信息
    在这里插入图片描述

董不懂22
关注
专栏目录
centos7 APACHE-AMBARI-2.7.4.0(Ambari 本地源安装
Zcoder`Blog
10-11 5398
目录 一、Ambari 简介 二、软件准备 1. 软件要求 2. Ambari 软件包下载 三、搭建HDP集群 1. 搭建 Master 节点 1.1 新建虚拟机 1.2 配置虚拟机网络 1.3 关闭防火墙 firewalld 和 Selinux 1.4 修改host 1.5 设置阿里云的yum源 1.6 安装时间同步服务 NTP 1.7 安装并配置JDK 1.8 禁用...
Ambari安装 (Ambari-2.7.4.0 +HDP-3.1.4.0+HDP-UTILS-1.1.0.22 基于CentOS7)
记录学习
04-18 5178
Apache Ambari是一种基于Web的工具,支持Apache Hadoop集群的供应、管理和监控。Ambari已支持大多数Hadoop组件,包括HDFS、MapReduce、Hive、Pig、 Hbase、Zookeeper、Sqoop和Hcatalog等。 Apache Ambari支持HDFS、MapReduce、Hive、Pig、Hbase、Zookeepr、Sqoop和Hcatalog等的集中管理。也是5个顶级hadoop管理工具之一。
Ambari集成Kerberos
kxq的博客
11-12 3740
搭建ambari请参考我的上一篇博客:centos7安装Ambari 2.7.5 + HDP3.1.5 Kerberos搭建 环境: 首先时间一定要同步。 节点 server:hadoop101 client:hadoop102 hadoop103 搭建Kerberos Server kdc服务器包含三个配置文件: # 集群上所有节点都有这个文件而且内容同步 /etc/krb5.conf # 主服务器上的kdc配置 /var/kerberos/krb5kdc/kdc.conf # 能够不直接访问 KDC
Ambari-大数据平台的搭建利器
08-23
Ambari搭建的详细说明文档,通过本地源搭建Ambari服务
Ambari上添加Kerberos
a13568hki的博客
11-01 879
归作者所有:来自51CTO博客作者一语成谶灬的原创作品,请联系作者获取转载授权,否则将追究法律责任。#以上需要在服务端和客户端都配置,可以在服务端配置好以后使用scp拷贝。10、新增用户(add_principal USER)删除用户(delete_principal)三、 在Ambari上添加kerberos。4.在服务端安装krb5-server。在Ambari上添加Kerberos。1.创建kerberos数据库。4.启动服务和设置开机自启。1.开启Kerberos。1.下载jce并解压。
Ambari学习笔记-安装Kerberos
snipercai的博客
04-18 1407
Ambari学习笔记-安装Kerberos
基于ambariKerberos安装配置
CREATE_17的博客
12-27 479
环境说明Ambari 2.6.1.0HDP 2.6.4Kerberos 1.14.1一、安装JCE对于Kerberos系统来说,默认使用的 AES-256来进行加密。在集群启用Kerbe...
大数据平台Ambari
最新发布
youziguo的专栏
06-25 1119
Apache Ambari 是一个用于配置、管理和监控 Hadoop 集群的开源工具。Ambari 提供了一个直观的用户界面和一组全面的 API,使得管理大数据集群变得更加容易和高效。
Ambari-2.7.3.0+HDP-3.1.0.0-Ubuntu安装包-HDP安装包大全
07-16
1. **系统准备**:确保系统满足Ambari的硬件和软件需求,比如Ubuntu版本兼容性、Java环境的安装等。 2. **下载Ambari**:获取Ambari安装包,这里对应的是Ambari-2.7.3.0+HDP-3.1.0.0的Ubuntu版本。 3. **安装...
hadoop-3.1.4.tar.gz
08-03
另外,为了监控和管理Hadoop集群,可以安装Ambari工具,它提供了一个用户友好的Web界面。 一旦Hadoop安装成功,你可以通过编写MapReduce程序来处理数据。Hadoop支持多种编程语言,如Java、Python和Scala。MapReduce...
hadoop-2.7.4.tar.gz
08-18
1. **HDFS(Hadoop Distributed File System)**:HDFS是Hadoop的核心组件之一,是一个分布式文件系统,能够跨多台服务器存储和处理海量数据。它具有高容错性和高可扩展性,确保数据的可靠性和可用性。 2. **...
Ambari开启Kerberos安全认证
康师傅没有眼泪
05-27 3180
一个 User 或者一个 Service 会用 Principal 到 认证服务器(AS)认证,AS会返回一个用 Principal Key 加密的 TGT(票据授权票据),这时候只有 AS 和 Principal 的使用者可以识别该TGT,User 或者 Service 会使用 Principal 的 Key 来解密 TGT, 并使用解密后的 TGT 去TGS 获取 Service Ticket。在 Kerberos 认证的集群中,只有拿着这个 Service Ticket 才可以访问真正的 Se
大数据平台ambari
warrah 南极狼
12-26 1421
调研发现网易猛犸、金山云采用的军事ambari,甚至在易观直接把大数据平台ambari的截图放到了官网上,足见它的影响力有多强。 ambari长啥样子,可以参考使用Apache Ambari管理Hadoop集群 而Ambari 2.7.3与HDP 3.1.0安装过程,虽然这篇文章讲的笔记好,但是实际环境可能更为复杂,系统盘有35G,而数据盘有29T空间,那么ambari以及其他依赖环境应该部署在/appdata中,为了防止错误,那么ambari的用户是否需要新建一个呢,如果安装在root用户下面,很容易犯
安装ambari平台
qq_34648165的博客
01-27 640
部署机器分布: master.ambari.com node01.ambari.com node02.ambari.com [all]三台机器安装完成,配置yum源 --ok [all]配置域名映射 172.28.128.11 master.ambari.com master 172.28.128.12 node01.ambari.com node01 172.28.128.13 node02.ambari.com node02 [all]每个节点关闭DHCP 设置为静态IP -..
基于Ambari搭建大数据分析平台
tangyi2008的专栏
03-13 4706
大数据集群管理方式分为手工方式(Apache hadoop)和工具方式(Ambari + hdp 和Cloudera Manger + CDH)。手工方式太过复杂,是一个艰辛的过程,在企业应用中,一般采用工具部署方式。Ambari和Cloudera Manager这两个系统,目的就是简化Hadoop生态集群的安装、配置,同时提高Hadoop运维效率,以及对Hadoop集群进行监控。
ambari-kerberos配置
elongerzhc的博客
12-13 1396
服务端 yum install krb5-server krb5-libs krb5-workstation -y --下载jce并解压 --jce下载地址: http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html unzip -o -j -q /app/data/jce_policy-8.zip -d /usr/lib/jvm/zulu-8/jre/lib/security --修改主配置kr
推荐开源项目:PKINITtools - 强大的Kerberos身份验证工具
gitblog_00097的博客
04-26 450
推荐开源项目:PKINITtools - 强大的Kerberos身份验证工具 PKINITtoolsTools for Kerberos PKINIT and relaying to AD CS项目地址:https://gitcode.com/gh_mirrors/pk/PKINITtools 项目简介 是一个由开发者 Dirkjan Ochtman 创建并维护的开源项目,它提供了一系列命令行工...
ambari集群Kerberos服务异常
qq_29989725的博客
08-14 602
异常现象 组件列表里面没有kerberos组件,安全认证页面显示已经开启Kerberos服务。主机组件列表里面也没有Kerberos-client组件。kdc服务正常。怀疑有人禁用Kerberos服务失败了,但是没有查到日志记录。 问题排查 ambari.cluster表: ambari根据clusters表中security_type的状态(KERBEROS/NONE)显示是否开启Kerberos服务了 如果为NONE:则下面的页面会显示:启用Kerberos安全 如果为KERBERO:则显示如
Kerberos安装
weixin_44129801的博客
01-07 1401
1. 安装 kerberos基于client-server模式, 所以每台服务器都需要安装client, server挑一台服务器即可 yum -y install krb5-server krb5-libs krb5-workstation 配置文件 /etc/krb5.conf /var/kerberos/krb5kdc/kdc.conf /var/kerberos/krb5kdc/kadm5.acl 2. 配置krb5.conf vi /etc/krb5.conf kerberos可以
ambari卸载kerberos导致tez.am.view-acls参数消失的情况,分析可能的源码
07-11
1. Ambari Server接收到卸载Kerberos的请求。 2. Ambari Server通过与Ambari Agent的通信,将卸载Kerberos的指令发送给对应的主机。 3. Ambari Agent在主机上执行相应的操作,包括修改配置文件、删除相关的Kerberos...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值