[CDH基础]-- 添加Kerberos认证(5.3.X以上)

步骤 4：使用向导启用 Kerberos

所需角色：

要启动 Kerberos 向导：                                                            

1.   导航到 ClouderaManager Admin Console 并单击要启用 Kerberos 身份验证的群集右侧的 。                   

2.   选择启用 Kerberos。     

以下说明将指导您完成向导设置以保护群集。   

1.   开始使用向导之前

2.   KDC 信息

3.   KRB5 配置

4.   导入 KDC AccountManager 凭据

5.   配置 HDFS DataNode 端口

6.   启用 Kerberos

7.   恭喜您

开始使用向导之前

"欢迎"页面列出在使用向导开始保护群集之前应该完成的以下操作项目：

·        设置一个正常工作的 KDC。Cloudera Manager 支持使用 MIT KDC 和 Active Directory 进行身份验证。

·        配置 KDC 以允许带非零票证生存期的可再生票证。

默认情况下，Active Directory 允许带非零票证生存期的可再生票证。您可以通过在 Active Directory 中选中域安全性设置 > 帐户策略 > Kerberos 策略进行验证。

对于 MIT KDC，确保在 kdc.conf.中包含以下行。

max_life = 1d

max_renewable_life = 7d

·        如果您正在使用 Active Directory，确保已为 Domain Controller 启用 LDAP over SSL (LDAPS)。

·        根据正在使用的操作系统，在群集上安装以下软件包。    

OS	要安装的程序包
RHEL/CentOS 5、RHEL/CentOS 6	o    openldap-clients 在 Cloudera Manager Server 主机上 o    krb5-workstation、在所有主机上的 krb5-libs
SLES	o    openldap2-client 在 Cloudera Manager Server 主机上 o    krb5-client 在所有主机上
Ubuntu 或 Debian	o    ldap-utils 在 Cloudera Manager Server 主机上 o    krb5-user 在所有主机上
Windows	o    krb5-workstation、在所有主机上的 krb5-libs

·        为拥有在 KDC 中创建账户权限的 Cloudera Manager 创建帐户。这应作为 步骤 3：为 ClouderaManager Server 获取或创建 Kerberos 主体 的一部分完成。

  重要提示：

如果在非安全群集中已启用 YARN Resource Manager HA，应在启用 Kerberos 之前清除 Zookeeper 中的 StateStore znode。要执行此操作：

1.   转到 ClouderaManager Admin Console 主页，单击 YARN 服务的右侧并选择停止。

2.   看到完成状态时，则服务已停止。

3.   转到 YARN 服务并选择操作 > 格式化 State Store。

4.   命令完成后，单击关闭。

能够选中此列表上的所有项目后，单击继续。                               

KDC 信息

在此页上，选择您使用的 KDC 类型即 MIT KCD 或 Active Directory，适当填写以下字段以启用 Cloudera Manager 为群集上运行的 CDH 服务生成主体/账户。

  注释：

·        如果您使用的是 AD 并且在 Load Balancer 背后具有多个 Domain Controller，在 KDC 服务器主机字段输入 Load Balancer 的名称，以及在 Active Directory Domain Controller 覆盖中输入任何一个 Domain Controller。Hadoop 守护程序将使用 Load Balancer 进行身份验证，但 Cloudera Manager 将使用覆盖创建帐户。

·        如果您有多个 Domain Controller（在 AD 情况下）或 MIT KDC 服务器，仅在 KDC 服务器主机字段输入其中任何一个的名称。Cloudera Manager 仅将该服务器用于创建帐户。如果您选择使用 Cloudera Manager 来管理 krb5.conf，可以使用下面所述的“安全阀”指定其余 Domain Controller。

·        确保 Kerberos 加密类型字段的条目与 KDC 所支持的内容相匹配。

单击继续以继续操作。

KRB5 配置

通过 Cloudera Manager 管理 KRB5.conf 允许选择 Cloudera Manager 是否应在您的群集上部署 krb5.conf。如果不选中，您需确保 krb5.conf 已部署到群集中的所有主机上，包括 Cloudera Manager Server 的主机。

如果选中 通过 Cloudera Manager 管理 KRB5.conf，这页允许您配置在此页发出的属性。特别是，此页面上的安全阀可用于配置跨领域身份验证。更多信息，请参见 配置群集专用的 MIT KDC 和群集的默认域。

  注释： Cloudera Manager 无法使用非默认领域。您必须指定默认领域。

单击继续以继续操作。

 

导入 KDC Account Manager 凭据

输入可以在 KDC 中为 CDH 群集创建主体的用户的用户名和密码。这是您在 步骤 3：为 ClouderaManager Server 获取或创建 Kerberos 主体 中创建的用户/主体。Cloudera Manager 将用户名和密码加密为 keytab 并按需使用以创建新的主体。

  注释： 输入的用户名应该具有仅为大写字母的领域部分，如 UI 中的示例所示。

单击继续以继续操作。

配置 HDFS DataNode 端口

在此页上，指定安全群集中 DataNode 的 Transceiver Protocol 和 HTTP Web UI 所需的特权端口。

使用该复选框确认您准备好重启群集。单击继续。

启用 Kerberos

此页面允许您跟踪向导首先停止群集中的所有服务、部署 krb5.conf、为其他 CDH 服务生成 keytab、部署客户端配置以及最后重启所有服务的整个过程。单击继续。

恭喜您

在最后一页列出已成功启用 Kerberos 的群集。单击完成以返回 Cloudera Manager Admin Console 主页。

             

参考：

http://www.cloudera.com/content/www/zh-CN/documentation/enterprise/5-3-x/topics/cm_sg_s4_kerb_wizard.html#concept_qpj_x5y_l4_unique_1

http://www.cloudera.com/documentation/enterprise/latest/topics/cm_sg_s4_kerb_wizard.html