0419-如何将CDH中集成的RedHat7版Kerberos切换至Active Directory的Kerberos认证

最新推荐文章于 2021-12-30 11:06:56 发布
最新推荐文章于 2021-12-30 11:06:56 发布
阅读量496 收藏
点赞数
分类专栏: Hadoop实操
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hadoop_sc/article/details/104724951
版权

温馨提示:如果使用电脑查看图片不清晰,可以使用手机打开文章单击文中的图片放大查看高清原图。
Fayson的github:
https://github.com/fayson/cdhproject
提示:代码块部分可以左右滑动查看噢

1.文档编写目的

在前面Fayson介绍了多篇关于Window Server上安装的Active Directory服务,由于Active Directory服务即提供了统一的用户管理也提供了Kerberos认证服务,在向AD中新增用户的同时也为用户创建了相应的Kerberos账号,那本篇文章Fayson主要介绍,如何在不考虑自定义用户的Kerberos账号的前提下将CDH中集成的RedHat7的Kerberos迁移至AD的Kerberos认证。

  • 内容概述

1.测试环境描述

2.CDH迁移Kerberos认证至AD

3.集群服务启动及验证

4.总结

  • 测试环境

1.RedHat7.3

2.CM和CDH版本为5.15

3.集群已启用Kerberos

  • 前置条件

1.Active Directory已安装且正常使用

2.测试环境描述及准备

Fayson在前面一系列文章中介绍了AD的安装及与CDH集群中各个组件的集成,包括《01-如何在Window Server 2012 R2搭建Acitve Directory域服务》、《02-Active Directory安装证书服务并配置》、《03-Active Directory的使用与验证》、《04-如何在RedHat7上配置OpenLDAP客户端及集成SSSD服务和集成SSH登录》、《05-如何为Hive集成AD认证》、《06-如何为Impala集成AD认证》、《07-如何为Hue集成AD认证》、《08-如何为Navigator集成Active Directory认证》和《09-如何为CDSW集成Active Directory认证》。

  • AD服务信息
IP地址HOSTNAME描述
xxx.xx.x.xxadserver.fayson.comActive Directory已安装

1.准备一个用于CM管理AD中Kerberos的账号cloudera/admin

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SBmtiP05-1583594515085)(https://ask.qcloudimg.com/http-save/yehe-1522219/5qlmae17y6.jpeg)]

创建成功

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WL4o6wk8-1583594515088)(https://ask.qcloudimg.com/http-save/yehe-1522219/raxznpqlu3.jpeg)]

2.为cloudera-scm/admin设置Cloudera Groups和Cloudera Users组织的委派控制

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FQzhwIga-1583594515088)(https://ask.qcloudimg.com/http-save/yehe-1522219/gpov6xu17l.jpeg)]

设置委派控制的所有权限

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OTs8bWwJ-1583594515089)(https://ask.qcloudimg.com/http-save/yehe-1522219/fmw11s2lho.jpeg)]

3.CDH迁移Kerberos认证至AD

1.停止集群所有服务,CDH和CMS的所有服务

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2QqdV3ML-1583594515090)(https://ask.qcloudimg.com/http-save/yehe-1522219/knlh7baiqa.jpeg)]

2.修改集群所有节点的/etc/krb5.conf文件为如下内容

[root@cdh01 ~]# more /etc/krb5.conf
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 default_realm = FAYSON.COM
 #default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 FAYSON.COM = {
  kdc = adserver.fayson.com
  admin_server = adserver.fayson.com
 }

[domain_realm]
 .fayson.com = FAYSON.COM
 fayson.com = FAYSON.COM

(可左右滑动)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7dLNnFeL-1583594515091)(https://ask.qcloudimg.com/http-save/yehe-1522219/nsdb0rymwx.jpeg)]

3.进入“管理”-> “安全”-> “Kerberos凭据”界面

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3vqKBJhb-1583594515091)(https://ask.qcloudimg.com/http-save/yehe-1522219/w19nvs965n.jpeg)]

4.点击“配置”修改Kerberos服务指向AD服务,具体修改内容如下图标注部分

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jbckszXs-1583594515092)(https://ask.qcloudimg.com/http-save/yehe-1522219/l605rezd0t.jpeg)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GOeP629t-1583594515092)(https://ask.qcloudimg.com/http-save/yehe-1522219/oggbv7y8re.jpeg)]

5.保存配置后,回到“Kerberos凭据”界面,点击“导入Kerberos Account Manager凭据”

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QMmbKMYW-1583594515092)(https://ask.qcloudimg.com/http-save/yehe-1522219/pwjg3u657t.jpeg)]

用户名为前面环境准备节点创建的cloudera-scm/admin账号,输入账号密码后点击导入

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TruJtJwz-1583594515093)(https://ask.qcloudimg.com/http-save/yehe-1522219/awx97f726w.jpeg)]

完成Kerberos管理账号的导入,CM通过该账号向AD服务器创建集群所有服务使用到的Kerberos账号。

6.完成上述操作后,需要为集群重新生成Kerberos账号,注意重新生成的前提是需要集群所有服务已停止

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7VlyveZL-1583594515093)(https://ask.qcloudimg.com/http-save/yehe-1522219/zicqzmcvrb.jpeg)]

凭证生成成功

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0quX5sbz-1583594515094)(https://ask.qcloudimg.com/http-save/yehe-1522219/z4nnhypj03.jpeg)]

查看AD上Cloudera Users组织下有大量的用户生成,生成的用户为CDH各个服务的Kerberos账号。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TdTTWN5E-1583594515094)(https://ask.qcloudimg.com/http-save/yehe-1522219/abwqh8w47q.jpeg)]

4.启动服务及验证

1.集群所有服务均正常启动

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-RR4so3xf-1583594515094)(https://ask.qcloudimg.com/http-save/yehe-1522219/gq16armn89.jpeg)]

2.在集群中提交一个MR作业测试

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dQgj5kVM-1583594515095)(https://ask.qcloudimg.com/http-save/yehe-1522219/9jrkicqcbf.jpeg)]

作业执行成功

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PCJ4EvKg-1583594515095)(https://ask.qcloudimg.com/http-save/yehe-1522219/a12ljtoeh.jpeg)]

5.总结

1.CDH的Kerberos集成迁移至AD认证,同样需要在AD上创建一个用于CM统一管理Hadoop所有服务的Kerberos账号cloudera-scm/admin,注意该账号需要携带“/admin”后缀以表示该用于拥有管理创建Kerberos账号的权限。

2.在切换为AD认证后,需要配置Active Directory后缀属性,表示CM将Hadoop所有服务的用户创建到该组织下。

3.需要在CM上导入Kerberos Account Manager凭据(cloudera-scm/admin)。

4.完成所有AD的配置集成后,需要为集群所有服务重新生成Kerberos信息,因为AD服务器上并没有这些服务的Kerberos信息。

5.注意这里只能将CM及CDH所有服务的Kerberos账号生成到AD服务器中,至于自己创建的Kerberos账号需要手动的进行创建。

提示:代码块部分可以左右滑动查看噢
为天地立心,为生民立命,为往圣继绝学,为万世开太平。
温馨提示:如果使用电脑查看图片不清晰,可以使用手机打开文章单击文中的图片放大查看高清原图。

Hadoop_SC
关注
专栏目录
0420-如何为CDH集成Active DirectoryKerberos认证
Hadoop_SC的博客
03-07 714
温馨提示:如果使用电脑查看图片不清晰,可以使用手机打开文章单击文的图片放大查看高清原图。 Fayson的github: https://github.com/fayson/cdhproject 提示:代码块部分可以左右滑动查看噢 1.文档编写目的 在前面Fayson介绍了多篇关于Window Server上安装的Active Directory服务,由于Active Directory服务...
0596-6.2.0-如何在CDH6.2禁用Kerberos
Hadoop_SC的博客
10-28 738
Fayson的github: https://github.com/fayson/cdhproject 推荐关注微信公众号:“Hadoop实操”,ID:gh_c4c535955d0f 1 文档编写目的 Fayson在前面的文章介绍了如何为CDH集群启用Kerberos,在集群启用Kerberos后,会对现有环境的部分代码做改造,有些人觉得使用起来不方便,想取消Kerberos。本篇文章Fays...
Active Directorykerberos
06-05
如何配置Active Directory,如何设置tomcat等java服务与windowsAD进行Kerberos认证
hadoop 添加kerberos认证
hua840812的专栏
03-21 4039
参考Cloudera官方文档:Configuring Hadoop Security in CDH3 一、部署无kerberos认证的Hadoop环境 参考另一篇笔记:hadoop集群部署 或者按照Cloudera的官方文档:CDH3 Installation Guide. 二、环境说明 1、主机名 之前部署hadoop集群时,没有使
CDH6.3.2之Kerberos安全认证
ytp552200ytp的博客
11-12 2206
问题导读: 1、Kerberos认证原理是什么? 2、Kerberos如何部署? 3、CDH集群如何启用Kerberos?4、如何在Kerberos安全环境使用HFDS? 01 PART Kerberos简介 Kerberos是一种计算机网络授权协议,用来在非安全网络,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、...
Kerberos认证--图解
qq_46480020的博客
11-22 982
kerboros认证
cdh6.3.1+cm6.3.1安装包-cdh安装包大全
09-05
通过上述步骤,你可以成功地在Redhat7或CentOS7环境部署和管理一个CDH6.3.1 + CM6.3.1的集群。这个过程,`cdh6.3.1 + cm6.3.1.txt`文件可能包含了详细的安装指南、配置参数或者是一些重要的提示信息,务必仔细...
0005-Windows Kerberos客户端配置并访问CDH
Hadoop_SC的博客
11-15 1790
温馨提示:要看高清无码套图,请使用手机打开并单击图片放大查看。 1.概述 本文档描述Windows Server2008 R2(windows的内核本是6.1,与windows 7相同)下安装Kerberos Client及FireFox下HTTP访问HDFS、Yarn、Hive、HBase等Hadoop服务的Web UI(如Namenode的50070,Yarn的8088)的过程。安装文档...
cdh6.2.1 + cm6.2.1安装包-cdh安装包大全
09-05
在本场景,我们讨论的是CDH6.2.1和CM6.2.1的安装包,这些安装包适用于Redhat7和Centos7及以上本的操作系统。 1. CDH6.2.1 知识点: - **主要组件**:CDH6.2.1包含HDFS(Hadoop Distributed File System)、...
CDH启用kerberos认证
eyeofeagle的博客
01-20 6591
文章目录1,集群架构2, 安装kerberos服务3, CDH集群启用kerberosa, Administrator: securityb, Enable Kerberosc, 确认并勾选d, 填写kdc信息e, 略过CDH管理kerberos, 填写CDH管理员账号4, 使用kerberos认证,调用hive,hbase等服务 1,集群架构 角色 主机ip kerberos软件包 说明...
CDH构建大数据平台-配置集群的Kerberos认证安全
yangshaojun1992的博客
01-06 1393
当平台用户使用量少的时候我们可能不会在意集群安全功能的缺失,因为用户少,团队规模小,相对容易把控,开发人员直接也彼此了解。这时候只需要做好团队内部或是企业通过一些列行政管理手段就能管理好集群的安全问题。但是别忘了我们的平台定位可是作为一个单一的大数据来支持企业内部所有应用的。正所谓人上一百,形形色色。当平台用户达到一定数量之后其素质难免会参差不齐,大数据平台面对的也不再是一个小团队了。这时候靠团队...
CDH kerberos 认证,安全认证
jast
08-06 1262
环境 centos 7.4 安装KDC服务 yum -y install krb5-server krb5-libs krb5-auth-dialog krb5-workstation 修改配置文件vi /etc/krb5.conf 默认如下 修改为 # Configuration snippets may be plac...
CDHKerberos认证配置
weixin_34072857的博客
12-13 3357
2019独角兽企业重金招聘Python工程师标准>>> ...
CDH集群开启Kerberos安全认证
sharkdoodoo
07-23 9024
在ClouderaManager通过向导开启,kerberos启用可以通过对hadoop集群的各个服务的xml配置文件进行配置开启管理,但是由于需要配置的xml很多,还需要生成各个服务器的keytab文件,配置相当于繁琐,就算是老司机也很容易出错,而在在CM管理kerberos启用,可以通过可视化的方式进行管理开启,非常方便,cm帮你生成和部署各个服务的keytab文件,减少错误的发生在进行向导
[1067]CDH6.3.2之Kerberos安全认证
周小董
11-09 5553
文章目录Kerberos简介Kerberos认证原理Kerberos部署Cloudera Manager平台上Kerberos的配置(在做此操作之前,请检查服务器时期是否正常)Kerberos安全环境使用 Kerberos简介 Kerberos是一种计算机网络授权协议,用来在非安全网络,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保
CDH6安装kerberos(一)kerberos概念理解
独孤飞磊
11-30 1644
一. Kerberos概述 Kerberos是一种计算机网络授权协议,用来在非安全网络,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。 Hadoop使用Kerberos作为用户和服务的强身份验证和身份传播的基础。Kerberos是一种计算机网络认证协议,它允许某实体在非安
CDH环境下jdbc连接impala集成kerberos认证
weixin_43919891的博客
03-06 1212
关于CDH环境下jdbc连接impala集成kerberos认证,其用的idea,导入的maven依赖包 和maven好像不一样,具体怎么用代码实现,求各位路过的大佬指教一下,小弟谢谢了 ...
CDH5.8.4-Hadoop2.6.0-hive-yarn-hbase 集群上配置集成 Kerberos认证
SimpleSimpleSimples的博客
01-26 671
1.Hadoop 的认证机制 简单来说,没有做 kerberos 认证的 Hadoop,只要有 client 端就能够连接上。而且,通过一个有 root 的权限的内网机器,通过创建对应的Linux用户,就能够得到 Hadoop 集群上对应的权限。而实行 Kerberos 后,任意机器的任意用户都必须现在 Kerberos 的 KDC 有记录,才允许和集群其它的模块进行通信...
CDH5安装Kerberos认证
IT晓白
12-30 1720
BUG BUG写在前面:Kerberos 1.15.1-18.el7.x86_64 本有BUG,不要安装这个本!!!! 如果已安装上面描述本不要怕,这里有一篇解决方案升级kerberos 1.系统环境 1.操作系统:CentOS Linux release 7.5.1804 (Core) 2. CDH: 5.16.2-1.cdh5.16.2.p0.8 3. Kerberos:1.15.1-50.el7x86 4.采用root用户进行操作 2.KDC服务安装及配置 2.1.安装KDC服务 在Cloude
CDH 5.15.1集群Kerberos安全认证实战指南
"该文档详细介绍了在CDH 5.15.1本上启用Kerberos认证的步骤,包括KDC(Key Distribution Center)的安装、配置,以及Kafka在Kerberos环境下的配置和操作。" 在CDH 5.15.1环境,启用Kerberos认证是为了增强集群...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值