步骤 4:使用向导启用 Kerberos
所需角色:
要启动 Kerberos 向导:
1. 导航到 ClouderaManager Admin Console 并单击要启用 Kerberos 身份验证的群集右侧的 。
2. 选择启用 Kerberos。
以下说明将指导您完成向导设置以保护群集。
1. 开始使用向导之前
2. KDC 信息
3. KRB5 配置
4. 导入 KDC AccountManager 凭据
5. 配置 HDFS DataNode 端口
6. 启用 Kerberos
7. 恭喜您
开始使用向导之前
"欢迎"页面列出在使用向导开始保护群集之前应该完成的以下操作项目:
· 设置一个正常工作的 KDC。Cloudera Manager 支持使用 MIT KDC 和 Active Directory 进行身份验证。
· 配置 KDC 以允许带非零票证生存期的可再生票证。
默认情况下,Active Directory 允许带非零票证生存期的可再生票证。您可以通过在 Active Directory 中选中域安全性设置 > 帐户策略 > Kerberos 策略进行验证。
对于 MIT KDC,确保在 kdc.conf.中包含以下行。
max_life = 1d
max_renewable_life = 7d
· 如果您正在使用 Active Directory,确保已为 Domain Controller 启用 LDAP over SSL (LDAPS)。
· 根据正在使用的操作系统,在群集上安装以下软件包。
OS | 要安装的程序包 |
o openldap-clients 在 Cloudera Manager Server 主机上 o krb5-workstation、在所有主机上的 krb5-libs | |
o openldap2-client 在 Cloudera Manager Server 主机上 o krb5-client 在所有主机上 | |
o ldap-utils 在 Cloudera Manager Server 主机上 o krb5-user 在所有主机上 | |
o krb5-workstation、在所有主机上的 krb5-libs |
· 为拥有在 KDC 中创建账户权限的 Cloudera Manager 创建帐户。这应作为 步骤 3:为 ClouderaManager Server 获取或创建 Kerberos 主体 的一部分完成。
重要提示:
如果在非安全群集中已启用 YARN Resource Manager HA,应在启用 Kerberos 之前清除 Zookeeper 中的 StateStore znode。要执行此操作:
1. 转到 ClouderaManager Admin Console 主页,单击 YARN 服务的右侧并选择停止。
2. 看到完成状态时,则服务已停止。
3. 转到 YARN 服务并选择操作 > 格式化 State Store。
4. 命令完成后,单击关闭。
能够选中此列表上的所有项目后,单击继续。
KDC 信息
在此页上,选择您使用的 KDC 类型即 MIT KCD 或 Active Directory,适当填写以下字段以启用 Cloudera Manager 为群集上运行的 CDH 服务生成主体/账户。
注释:
· 如果您使用的是 AD 并且在 Load Balancer 背后具有多个 Domain Controller,在 KDC 服务器主机字段输入 Load Balancer 的名称,以及在 Active Directory Domain Controller 覆盖中输入任何一个 Domain Controller。Hadoop 守护程序将使用 Load Balancer 进行身份验证,但 Cloudera Manager 将使用覆盖创建帐户。
· 如果您有多个 Domain Controller(在 AD 情况下)或 MIT KDC 服务器,仅在 KDC 服务器主机字段输入其中任何一个的名称。Cloudera Manager 仅将该服务器用于创建帐户。如果您选择使用 Cloudera Manager 来管理 krb5.conf,可以使用下面所述的“安全阀”指定其余 Domain Controller。
· 确保 Kerberos 加密类型字段的条目与 KDC 所支持的内容相匹配。
单击继续以继续操作。
KRB5 配置
通过 Cloudera Manager 管理 KRB5.conf 允许选择 Cloudera Manager 是否应在您的群集上部署 krb5.conf。如果不选中,您需确保 krb5.conf 已部署到群集中的所有主机上,包括 Cloudera Manager Server 的主机。
如果选中 通过 Cloudera Manager 管理 KRB5.conf,这页允许您配置在此页发出的属性。特别是,此页面上的安全阀可用于配置跨领域身份验证。更多信息,请参见 配置群集专用的 MIT KDC 和群集的默认域。
注释: Cloudera Manager 无法使用非默认领域。您必须指定默认领域。
单击继续以继续操作。
导入 KDC Account Manager 凭据
输入可以在 KDC 中为 CDH 群集创建主体的用户的用户名和密码。这是您在 步骤 3:为 ClouderaManager Server 获取或创建 Kerberos 主体 中创建的用户/主体。Cloudera Manager 将用户名和密码加密为 keytab 并按需使用以创建新的主体。
注释: 输入的用户名应该具有仅为大写字母的领域部分,如 UI 中的示例所示。
单击继续以继续操作。
配置 HDFS DataNode 端口
在此页上,指定安全群集中 DataNode 的 Transceiver Protocol 和 HTTP Web UI 所需的特权端口。
使用该复选框确认您准备好重启群集。单击继续。
启用 Kerberos
此页面允许您跟踪向导首先停止群集中的所有服务、部署 krb5.conf、为其他 CDH 服务生成 keytab、部署客户端配置以及最后重启所有服务的整个过程。单击继续。
恭喜您
在最后一页列出已成功启用 Kerberos 的群集。单击完成以返回 Cloudera Manager Admin Console 主页。
参考:
http://www.cloudera.com/documentation/enterprise/latest/topics/cm_sg_s4_kerb_wizard.html