hadoop使用kerberos增加权限验证功能

最新推荐文章于 2023-10-15 19:23:59 发布
VIP文章 最新推荐文章于 2023-10-15 19:23:59 发布
阅读量3.2k 收藏 3
点赞数
分类专栏: apache 文章标签: hadoop kerberos cgroup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/victor_ww/article/details/42424943
版权


    1. 更改network中的hostname
      • vim /etc/sysconfig/network

        NETWORKING=yes
        HOSTNAME=nn21021
    2. 更改hosts
      • vim /etc/hosts

        127.0.0.1   localhost
        #::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
        172.17.210.21 nn21021
        172.17.210.22 snn21022
        172.17.210.23 dn21023
        172.17.210.24 dn21024
        172.17.210.25 dn21025
    3. 关闭防火墙(建议:关闭自启动项设置)
      • service iptables status
        service iptables stop
        chkconfig iptables off
    4. 安装免密码登陆功能
    5. 增加用户组、用户
      • groupadd hadoop
        useradd -g hadoop hdfs
        useradd -g hadoop yarn
        useradd -g hadoop mapred
    6. 对应用户增加密码
      • passwd hdfs
        passwd yarn
        passwd mapred
    7. 安装KDC SERVER 
      • yum install krb5-server krb5-libs krb5-auth-dialog krb5-workstation
    8. 安装 krb5-devel、krb5-workstation 
      • yum install krb5-devel krb5-workstation
    9. 修改/etc/krb5.conf
      • vim  /etc/krb5.conf

        [logging]
         default = FILE:/data/logs/krb5/krb5libs.log
         kdc = FILE:/data/logs/krb5/krb5kdc.log
         admin_server = FILE:/data/logs/krb5/kadmind.log
        [libdefaults]
         default_realm = WONHIGH.CN
         dns_lookup_realm = false
         dns_lookup_kdc = false
         ticket_lifetime = 24h
         renew_lifetime = 7d
         forwardable = true
        [realms]
         WONHIGH.CN = {
          kdc = nn21021:88
          admin_server = nn21021:749
         }
        [domain_realm]
         .wonhigh.cn = WONHIGH.CN
         wonhigh.cn = WONHIGH.CN
        [kdc]
          profile=/var/kerberos/krb5kdc/kdc.conf
    10. 修改/var/kerberos/krb5kdc/kdc.conf
      • vim  /var/kerberos/krb5kdc/kdc.conf

        [kdcdefaults]
         kdc_ports = 88
         kdc_tcp_ports = 88
        [realms]
         WONHIGH.CN = {
          #master_key_type = aes256-cts
          acl_file = /var/kerberos/krb5kdc/kadm5.acl
          dict_file = /usr/share/dict/words
          admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
          supported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
         }
    11. 修改/var/kerberos/krb5kdc/kadmin.acl
    12. 增加目录
      • mkdir -p  /data/logs/krb5
        mkdir -p /data/hadoop/hdfs/name
        mkdir -p /data/hadoop/hdfs/data
        mkdir -p /data/hadoop/hdfs/tmp
        mkdir -p /etc/hadoop/conf
    13. 创建数据库 
      • kdb5_util create -r WONHIGH.CN -s
    14. 启动服务 
      • chkconfig --level 35 krb5kdc on
chkconfig --level 35 kadmin on
service krb5kdc start
        service kadmin start
    15. 创建kerberos管理员账户 
      • echo -e "wonhigh@014\nwonhigh@014" | kadmin.local -q "addprinc root/admin"
    16. 抽取秘钥保存至kadm5.keytab中
    17. 查看秘钥 
      • klist -k /var/kerberos/krb5kdc/kadm5.keytab
    18. 在kerberos数据库中增加hdfs、http、yarn、mapred用户 
      • kadmin.local -q "addprinc -randkey hdfs/nn21021@WONHIGH.CN"
        kadmin.local -q "addprinc -randkey hdfs/dn21024@WONHIGH.CN"
        kadmin.local -q "addprinc -randkey HTTP/nn21021@WONHIGH.CN"
        kadmin.local -q "addprinc -randkey HTTP/dn21024@WONHIGH.CN"
        kadmin.local -q "addprinc -randkey yarn/nn21021@WONHIGH.CN"
        kadmin.local -q "addprinc -randkey yarn/dn21024@WONHIGH.CN"
        kadmin.local -q "addprinc -randkey mapred/nn21021@WONHIGH.CN"
        kadmin.local -q "addprinc -randkey mapred/dn21024@WONHIGH.CN"
    19. 查看创建的用户 
      • kadmin.local -q "listprincs"
    20. 创建hdfs.keytab文件
    21. 创建yarn.keytab文件
    22. 创建mapred.keytab
    23. 复制生成的keytab到指定目录并赋予权限 
      • cd /var/kerberos/krb5kdc/
        scp hdfs.keytab yarn.keytab mapred.keytab nn21021:/etc/hadoop/conf
        chown -R hdfs:hadoop  /etc/hadoop/conf/hdfs.keytab
        chown -R yarn:hadoop  /etc/hadoop/conf/yarn.keytab
        chown -R mapred:hadoop  /etc/hadoop/conf/mapred.keytab

        scp hdfs.keytab yarn.keytab mapred.keytab dn21024:/etc/hadoop/conf
        chown -R  hdfs:hadoop /etc/hadoop/conf/hdfs.keyt
最低0.47元/天 解锁文章
jsjw18
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Hadoop部署和配置Kerberos安全认证
05-17
Hadoop部署和配置Kerberos安全认证全套流程。已经过实测并部署与生产环境。
为hdfs配置kerberos
weixin_34082854的博客
10-26 1208
为什么80%的码农都做不了架构师?>>> ...
Kerberos安装及Hadoop搭建提高安全性
huyuleizj的博客
03-08 986
Kerberos安装 前期准备 你可能需要: JDKbyacc.x86_64 ntp yum install byacc byaccj chkconfig ntpd on && service ntpd start 我这台机器是当时编译Hadoop源码的机器,可能有些譬如C++之类的环境已经配置了。 不过没关系,大家编译中的报错应该可以直接找到少哪些
Hadoop安全实践
美团技术团队
03-24 682
前言 在2014年初,我们将线上使用Hadoop 1.0 集群切换到 Hadoop 2.2.0 稳定版, 与此同时部署了 Hadoop 的安全认证。本文主要介绍在 Hadoop 2.2.0 上部署安全认证的方案调研实施以及相应的解决方法。 背景 集群安全措施相对薄弱 最早部署Hadoop集群时并没有考虑安全问题,随着集群的不断扩大, 各部门对集群的使用需求增加,集群安全问题就显...
kerberosKerberos安装使用详解及遇到的问题
Mrerlou的博客
03-18 5164
Kerberos协议: Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安全性。 环境信息: 信息 版本 操作系统 centos6.9 服务器类型 虚拟机 CDH 5.13 节点数量 5 节点信息:
Hadoop安全之Kerberos
S1124654的博客
01-30 3374
Hadoop安全之Kerberos
hadoop 添加kerberos认证
hua840812的专栏
03-21 3932
参考Cloudera官方文档:Configuring Hadoop Security in CDH3 一、部署无kerberos认证的Hadoop环境 参考另一篇笔记:hadoop集群部署 或者按照Cloudera的官方文档:CDH3 Installation Guide. 二、环境说明 1、主机名 之前部署hadoop集群时,没有使
Hadoop安全认证(1)
行人事,知天命
08-02 5436
前言 在2014年初,我们将线上使用Hadoop 1.0 集群切换到 Hadoop 2.2.0 稳定版, 与此同时部署了 Hadoop 的安全认证。本文主要介绍在 Hadoop 2.2.0 上部署安全认证的方案调研实施以及相应的解决方法。背景 集群安全措施相对薄弱 最早部署Hadoop集群时并没有考虑安全问题,随着集群的不断扩大, 各部门对集群的使用需求增加,集群安全问题就显得颇为重要。说到
hadoop_kerberos 配置权限验证.pdf
11-23
hadoop_kerberos 配置权限验证.pdf
小白快速掌握Hadoop集成Kerberos安全技术频教程
11-04
从零学习Kerberos安全认证机制,并和Hadoop、YARN、HIVE进行集成,通过知识点 + 案例教学法帮助小白快速掌握Hadoop集成Kerberos安全技术。 课程亮点 1,专项攻破Hadoop安全配置。 2,生动形象,化繁为简,讲解通俗...
kerberos+hadoop搭建
04-01
kerberos+hadoop搭建
hadoop快速集成kerberos认证
01-13
里面包含hadoop快速集成kerberos认证相关脚本与安装包。可以通过脚本直接修改hadoop,zookeeper,hbase关于集成kerberos相关配置,一键修改,一键启动,方便快捷!!!
(转载)详解Hive配置Kerberos认证
医疗影像检索
05-11 1万+
Hive提供了运行SQL语句查询存储在HDFS上数据的能力,Hive提供的查询引擎,可以将SQL语句转化成MapReduce任务,提交到Hadoop集群上执行。MapReduce任务运行的结果会存在HDFS上。下面的图表示了一个用户运行Hive查询的Hadoop内部交互。 有多种和Hive交互的方法,最常用的是CLI,不过,CLI的设计使其不便于通过编程的方式进行访问。还有可以使
用户认证——Kerberos集成Hadoop的配置
zhangzhagn_的博客
08-06 3147
Hadoop Kerberos配置
hadoopkerberos权限配置(ranger基础上)(三)
weixin_40496191的博客
01-02 3876
kerberos+ranger+kerberos权限控制
HDFS配置Kerberos认证
weixin_33800593的博客
04-08 282
本文主要记录 CDH Hadoop 集群上配置 HDFS 集成 Kerberos 的过程,包括 Kerberos 的安装和 Hadoop 相关配置修改说明。 1. 环境说明 系统环境: 操作系统:CentOs 6.6 Hadoop版本:CDH5.4 JDK版本:1.7.0_71 运行用户:root 集群各节点角色规划为: 192.168.56.1...
Hadoop 配置 Kerberos 认证
最新发布
zhy1379的博客
10-15 2494
kinit: Invalid Uid in persistent keyring name while getting default ccache Cannot contact any KDC for realm KrbException: Message stream modified (41) kinit: relocation error: kinit: symbol krb5_get_init_creds_opt_set_pac_request, 提交 spark on yarn
Kerberos安全认证-连载8-Hadoop Kerberos安全配置
qq_32020645的博客
06-07 1438
使用KerberosHadoop进行数据安全管理时,需要使用LinuxContainerExecutor,该类型Executor只支持在GNU / Linux操作系统上运行,并且可以提供更好的容器级别的安全性控制,例如通过在容器内运行应用程序的用户和组进行身份验证,此外,LinuxContainerExecutor还可以确保容器内的本地文件和目录仅能被应用程序所有者和NodeManager访问,这可以提高系统的安全性。
activemq报错问题收集
热门推荐
jsjw18的专栏
06-12 1万+
机器迁移后,启动activemq报错如下:
kerberos hadoop
10-13
- 用户身份验证Kerberos可以验证用户的身份,确保只有授权用户才能访问Hadoop集群。 - 数据加密:Kerberos可以加密Hadoop集群中传输的数据,确保数据不会被未经授权的人员访问。 - 授权管理:Kerberos可以管理用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值