Ambari 与 Kerberos
在 Ambari 环境中,Kerberos 本身是作为 Ambari 的一个 Service 而存在。当用户通过 Ambari 的 Automated Kerberization 机制启用 Kerberos 认证的时候,Ambari 会为各个 Service 创建对应的 Principal 以及 Keytab 文件。在 Linux Redhat6(CentOS 6)上,Ambari 默认的会使用 Kerberos1.10.3 的版本,而在 Redhat7(CentOS 7)上,则默认使用 Kerberos1.13.2。因此,需要启用 Kerberos 认证的集群,需要注意 Kerberos 版本的兼容性问题。Ambari、Stack、Service 以及 KDC 的关系大致如下图所示:
我们再看一下开启了kerberos的一些配置信息
从配置中我们知道keytabs信息存储在/etc/security/keytabs目录下:
[root@10.211.55.60 keytabs]# ll /etc/security/keytabs
total 116
-r-------- 1 root root 368 Mar 2 19:04 ambari.server.keytab
-r-------- 1 ams hadoop 383 Mar 2 19:04 ams.collector.keytab
-r-------- 1 ams hadoop 383 Mar 2 19:04 ams-hbase.master.keytab
-r-------- 1 ams hadoop 383 Mar 2 19:04 ams-hbase.regionserver.keytab
-r-------- 1 ams hadoop 373 Mar 2 19:04 ams-monitor.keytab
-r-------- 1 ams hadoop 368 Mar 2 19:04 ams-zk.service.keytab
-r-------- 1 hdfs hadoop 353 Mar 2 19:04 dn.service.keytab
-r--r----- 1 hbase hadoop 328 Mar 2 19:04 hbase.headless.keytab
-r-------- 1 hbase hadoop 368 Mar 2 19:04 hbase.service.keytab
-r-------- 1 hdfs hadoop 323 Mar 2 19:04 hdfs.headless.keytab
-r--r----