CDH6.2.0集群权限控制(一)-----Kerberos的安装与配置

最新推荐文章于 2022-05-14 15:36:20 发布
最新推荐文章于 2022-05-14 15:36:20 发布
阅读量1.4k 收藏 10
点赞数
分类专栏: Hadoop实操系列 文章标签: hive hdfs hadoop 大数据 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hanli2020/article/details/104511865
版权

文章目录

相关版本信息:

CDH版本:6.2.0(单节点)
Linux版本:CentOS7.6
操作用户:root

一、安装kerberos服务

1、yum安装

yum -y install krb5-server krb5-libs krb5-workstation

2、配置kerberos

2.1 修改/etc/krb5.conf配置

#Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
 default_realm = LIUCZ.COM //需要修改
#default_ccache_name = KEYRING:persistent:%{uid}

[realms] //需要修改
 LIUCZ.COM = {
  kdc = l01.liucz.com
  admin_server = l01.liucz.com
 }

[domain_realm] //需要修改
.l01.liucz.com = LIUCZ.COM
 l01.liucz.com = LIUCZ.COM

2.2 修改/var/kerberos/krb5kdc/kadm5.acl

*/admin@LIUCZ.COM       *

2.3 修改/var/kerberos/krb5kdc/kdc.conf配置

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 LIUCZ.COM = { //需要修改
  #master_key_type = aes256-cts
  max_renewable_life= 7d 0h 0m 0s //需要修改
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }

3、创建Kerberos数据库

kdb5_util create -r LIUCZ.COM -s

在这里插入图片描述

4、创建Kerberos的管理账号

[root@l01 ~]# kadmin.local 
Authenticating as principal root/admin@LIUCZ.COM with password.
kadmin.local:  addprinc admin/admin@LIUCZ.COM
WARNING: no policy specified for admin/admin@LIUCZ.COM; defaulting to no policy
Enter password for principal "admin/admin@LIUCZ.COM": 
Re-enter password for principal "admin/admin@LIUCZ.COM": 
Principal "admin/admin@LIUCZ.COM" created.

在这里插入图片描述

5、启动服务并自启

[root@l01 ~]# systemctl start krb5kdc.service kadmin.service
[root@l01 ~]# systemctl enable krb5kdc.service kadmin.service

6、测试kerberos

[root@l01 ~]# kinit admin/admin@LIUCZ.COM
Password for admin/admin@LIUCZ.COM: 
[root@l01 ~]# klist 
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: admin/admin@LIUCZ.COM

Valid starting       Expires              Service principal
02/26/2020 03:24:09  02/27/2020 03:24:09  krbtgt/LIUCZ.COM@LIUCZ.COM
	renew until 03/04/2020 03:24:09

二、为CDH集群启用kerberos

1、安装额外包

[root@l01 ~]# yum install -y openldap-clients.x86_64

2、在KDC中给Cloudera Manager添加管理员账号

[root@l01 ~]# kadmin.local 
Authenticating as principal admin/admin@LIUCZ.COM with password.
kadmin.local:  addprinc scm/admin@LIUCZ.COM
WARNING: no policy specified for scm/admin@LIUCZ.COM; defaulting to no policy
Enter password for principal "scm/admin@LIUCZ.COM": 
Re-enter password for principal "scm/admin@LIUCZ.COM": 
Principal "scm/admin@LIUCZ.COM" created.
kadmin.local:  q

3、 进入Cloudera Manager的“管理”->“安全”界面,进行配置

3.1进入安全界面

在这里插入图片描述

3.2 点击启用kerberos

在这里插入图片描述

3.3 全部勾选, 点击“继续”

在这里插入图片描述

3.4 修改KDC配置, 点击“继续”

在这里插入图片描述

3.5 不建议让Cloudera Manager来管理krb5.conf, 点击“继续”

在这里插入图片描述

3.6 输入Cloudera Manager的Kerbers管理员账号,一定得和之前创建的账号一致,点击“继续”

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

集群kerberos开启完成

三、测试使用kerberos

1、创建测试账户,并登录

[root@l01 ~]# kadmin.local 
Authenticating as principal admin/admin@LIUCZ.COM with password.
kadmin.local:  addprinc liucz@LIUCZ.COM
WARNING: no policy specified for liucz@LIUCZ.COM; defaulting to no policy
Enter password for principal "liucz@LIUCZ.COM": 
Re-enter password for principal "liucz@LIUCZ.COM": 
Principal "liucz@LIUCZ.COM" created.
kadmin.local:  q
[root@l01 ~]# kdestroy 
[root@l01 ~]# kinit liucz@LIUCZ.COM
Password for liucz@LIUCZ.COM: 
[root@l01 ~]# klist 
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: liucz@LIUCZ.COM

Valid starting       Expires              Service principal
02/26/2020 04:01:26  02/27/2020 04:01:26  krbtgt/LIUCZ.COM@LIUCZ.COM
	renew until 03/04/2020 04:01:26

2、测试beeline登录

[root@l01 ~]# beeline 
WARNING: Use "yarn jar" to launch YARN applications.
SLF4J: Class path contains multiple SLF4J bindings.
SLF4J: Found binding in [jar:file:/opt/cloudera/parcels/CDH-6.2.0-1.cdh6.2.0.p0.967373/jars/log4j-slf4j-impl-2.8.2.jar!/org/slf4j/impl/StaticLoggerBinder.class]
SLF4J: Found binding in [jar:file:/opt/cloudera/parcels/CDH-6.2.0-1.cdh6.2.0.p0.967373/jars/slf4j-log4j12-1.7.25.jar!/org/slf4j/impl/StaticLoggerBinder.class]
SLF4J: See http://www.slf4j.org/codes.html#multiple_bindings for an explanation.
SLF4J: Actual binding is of type [org.apache.logging.slf4j.Log4jLoggerFactory]
Beeline version 2.1.1-cdh6.2.0 by Apache Hive
beeline> !connect jdbc:hive2://localhost:10000/;principal=hive/l01.liucz.com@LIUCZ.COM
Connecting to jdbc:hive2://localhost:10000/;principal=hive/l01.liucz.com@LIUCZ.COM
Connected to: Apache Hive (version 2.1.1-cdh6.2.0)
Driver: Hive JDBC (version 2.1.1-cdh6.2.0)
Transaction isolation: TRANSACTION_REPEATABLE_READ
0: jdbc:hive2://localhost:10000/>

3、对hive进行插入数据

测试中如果出现目录权限问题,可以通过hdfs相关命令对相应目录授权:
这个指令需要以hdfs身份执行
我们需要先用kadmin.loca创建一个hdfs账号,kinit该账号,再进行hdfs目录权限的修改
其中setfacl需要
在这里插入图片描述

hdfs dfs -setfacl -m user:hive:rwx /user

修改完成后kinit之前创建的账户liucz@LIUCZ.COM
即可对hive表进行查询,插入操作;
因为电脑配置较低,采用hive的本地执行模式进行数据的插入;
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
参考文档

天南第一剑修
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CDH6.2 集成Sentry,Hive,Hue,Impala权限控制
简单的心的博客
07-02 6195
公司最近Hadoop集群和其他服务机器复用严重,提供了新机器,想将Hadoop集群迁出。 Hadoop使用的CDH集成环境,从CDH5.3跨越到CDH6.2 之前在CDH5.3上将hive从0.13升级到1.2.1。然后做了hive权限控制 详情见https://blog.csdn.net/u012422198/article/details/94434445 想在CDH6.2中同样来一套...
超简单的CDH6部署和体验(单机版)
最新发布
m0_72758098的博客
04-13 727
我们总是喜欢瞻仰大厂的大神们,但实际上大神也不过凡人,与菜鸟程序员相比,也就多花了几分心思,如果你再不努力,差距也只会越来越大。面试题多多少少对于你接下来所要做的事肯定有点帮助,但我更希望你能透过面试题去总结自己的不足,以提高自己核心技术竞争力。每一次面试经历都是对你技术的扫盲,面试后的复盘总结效果是极好的!《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!力,差距也只会越来越大。
CDH6.2.0集群搭建详细教程(包含开启Kerberos与Sentry)
This is Yunis's blog!
08-22 3325
CDH6.2.0+Sentry+Kerberos安装过程记录文档 一、准备工作 1、本文环境 名称 CentOS JDK MySQL CM CDH 版本 7.9 1.8 5.7 6.2.0 6.2.0 2、集群规划 IP 主机名 角色 安装服务 内存 处理器 192.168.198.11 dtb-tc-app11 Master cloudera-scm-servercloudera-scm-agent 6G 4 192.168.198.12 dtb-tc-app12
CDH开启Kerberos+Sentry权限控制-实施配置指南
12-02
CDH开启Kerberos+Sentry权限控制-实施配置指南,完整的详细教程
CDH6.2环境中启用Kerberos
我思,故我在!--My data life
06-27 9136
一、Kerberos概述: Kerberos是一个用于安全认证第三方协议,并不是Hadoop专用,你也可以将其用于其他系统,它采用了传统的共享密钥的方式,实现了在网络环境不一定保证安全的环境下,client和server之间的通信,适用于client/server模型,由MIT开发和实现。而使用Cloudera Manager可以较为轻松的实现界面化的Kerberos集成, Ker...
CDH6.1中启用Kerberos
yangbosos的博客
03-21 5656
Fayson介绍了《0491-如何在Redhat7.4安装CDH6.1》,这里我们基于这个环境开始安装KerberosKerberos是一个用于安全认证第三方协议,并不是Hadoop专用,你也可以将其用于其他系统,它采用了传统的共享密钥的方式,实现了在网络环境不一定保证安全的环境下,client和server之间的通信,适用于client/server模型,由MIT开发和实现。而使用Cloude...
phoenix-parcel-5.0.0-cdh6.2.0-el7安装包
08-03
【描述】"phoenix-parcel-5.0.0-cdh6.2.0-el7" 是Phoenix的一个特定版本,它经过了与CDH 6.2.0的兼容性测试,确保在该版本的CDH上运行良好。Parcel是Cloudera分发软件的一种方式,它允许用户以一种安全且可管理的...
CDH 6.2.0 集群安装-v54-20200625_213559.pdf
06-25
大数据集群6.2.0离线搭建文档,精心一个星期进行实践编写,报错信息截图详解,报错信息及重要提示处理,离线安装。
phoenix-5.0.0-cdh6.2.0-client.jar
09-14
hbase phoenix 客户端连接jdbc的jar包,SQuirreL SQL Client,DbVisualizer 等客户端连接hbase配置使用
hive-jdbc-2.1.1-cdh6.2.0-standalone.jar
09-24
hive-jdbc-2.1.1-cdh6.2.0(ieda等jdbc链接hive2.1.1);cdh6.2.0安装的hive2.1.1
CDH5.X安装配置kerberos认证过程
热门推荐
wulantian的专栏
01-14 1万+
//CDH安装配置kerberos认证过程---coco # by coco # 2014-12-23 CDH-5.2.0-1.cdh5.2.0安装成功,已经运行了几个月了。现在把确实的认证安装配置上。下面是详细的安装配置过程,已经过程中遇到的问题解决办法。 1. 背景 在Hadoop1.0.0或者CDH3 版本之前, hadoop并不存在安全认证一说。默认集群内所有的节
CDH6.3.2集群部署3—启用kerberos
一点见解
05-14 754
目录术语解释为什么启用kerberos安装及配置kerberos安装kerberos配置kerberosCDH集群启用Kerberos 术语解释 为了方便阅读理解,规范以下术语 主节点:master节点 非主节点:worker节点 为什么启用kerberos CDH6.3.2集群部署2—集群安装 完成后服务没有安全认证 详情可参考:CDH6.3.2之Kerberos安全认证(二) 安装及配置kerberos 安装kerberos #在master节点上执行 yum install -y krb5-ser
CDH安装以及开启kerberos
szh1124的专栏
04-05 5080
首先感谢前任总结的一些经验,尤其是开启kerberos方面,看了好几篇文章才最终搞定,当然还有好基友同事的一起帮忙,首先说一下按照CDH官方网站上提供的文档,我没有搞定,可能是英文水平太差的原因。 一、主机修改篇 1、下载地址:http://archive.cloudera.com/cm5/cm/5/  CDHmanager下载cloudera-manager-centos7-cm5.7.5_
kerberos mysql配置_CDH安装Kerberos (包含主从配置
weixin_42153793的博客
02-01 412
很多企业CDH是没有集成kerberos,原因是kerberos部署后,服务使用起来变复杂,大部分只配置了sentry做权限管理;但真正的CDH多租户应该是 身份验证 + 权限管理。也就是(kerberos + sentry)接下来,我会图文介绍怎么安装这两个服务;在实施方案前,假设CDH已经运行正常;之前安装了sentry服务先停掉企业微信截图_20180606233117.png正确的顺序应该...
CDH集成Kerberos配置
qxf1374268的博客
02-13 6327
转载自 JavaChen Blog,作者:JavaChen 原文链接地址:http://blog.javachen.com/2014/11/04/config-kerberos-in-cdh-hdfs.html 转载自 小黑的博客 原文链接地址:http://www.xiaohei.info/2016/09/01/cdh-install-kerberos-ldap-sentry/...
cdh5.7.1如何开启kerberos
蘑菇丁的专栏
12-18 5837
最近因为项目需要,需要对用户权限做限制,最终选择了kerberos+sentry+hue模式来管理用户,但是这个kerberos实在搞得我头大的不行,在网上找各种资料,怎么配置都不行,后来索性静下心来研究官方文档,在经历3天的痛苦折腾之后,终于实现了成功启动kerberos,为了各位能少走弯路我把我的经验写出来,供有缘人借鉴并少走弯路。 其实自己走了一遍后,真的是很简单,只是我自己当初想的太复杂
cdh安装教程
qq_32068809的博客
03-24 5788
CDH安装超强指南
CDH6.3.2 配置LDAP+kerberos
h952520296的博客
04-08 2514
本文主要记录 cdhhadoop集群集成 ldap 的过程,这里 ldap 安装的是 OpenLDAP 。LDAP 用来做账号管理,Kerberos作为认证。授权一般由Sentry来决定的。 集群包括7个节点,每个节点的ip、主机名和部署的组件分配如下: 192.168.0.200 master Kerberos KDC 、OpenLDAP 192.168.0.201 slave1 kerberos client、ldap client 192.168.0.202 s..
cdh权限控制
weixin_37796929的博客
07-30 719
1leda 2kerberos 3sentry权限控制
CDH权限管理文档.docx
05-19
其中,cdh-server上安装了集群管理器、密钥分发中心和密钥管理器(cm/kdc/kadmin),cdh-agent1、cdh-agent2和cdh-agent3则作为服务和代理节点。 接下来,文档详细介绍了Kerberos的安装和配置过程。在第2.1.1节中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值