hdfs配置sasl模式

最新推荐文章于 2024-07-15 03:00:53 发布
最新推荐文章于 2024-07-15 03:00:53 发布
阅读量6.3k 收藏 4
点赞数 1
分类专栏: kerberos 文章标签: hdfs asal
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lovebomei/article/details/80007631
版权
本文档详细介绍了如何配置HDFS以使用SASL模式进行数据传输协议验证,从而避免以root权限启动DataNode。主要内容包括创建Principal与Unix用户的映射、配置HDFS的步骤,特别强调了SASL配置、keystore文件的生成与SSL相关配置,以及解决在使用hadoop命令行访问HDFS时遇到的凭证问题。
摘要由CSDN通过智能技术生成

因为DataNode数据传输协议不使用Hadoop RPC框架,DataNode必须使用由dfs.datanode.address和dfs.datanode.http.address指定的特权端口进行身份验证。此身份验证基于以下假设:攻击者将无法在DataNode主机上获得root权限。

以root用户身份执行hdfs datanode命令时,服务器进程首先绑定特权端口,然后删除特权并以HADOOP_SECURE_DN_USER指定的用户帐户运行。此启动过程使用安装到JSVC_HOME的jsvc程序。您必须在启动时(在hadoop-env.sh中)指定HADOOP_SECURE_DN_USER和JSVC_HOME作为环境变量。

从版本2.6.0起,SASL可用于验证数据传输协议。在此配置中,安全集群不再需要使用jsvc以root身份启动DataNode并绑定到特权端口。要启用SASL数据传输协议,请在hdfs-site.xml中设置dfs.data.transfer.protection,为dfs.datanode.address设置非特权端口,将dfs.http.policy设置为HTTPS_ONLY,并确保HADOOP_SECURE_DN_USER环境变量未定义。 请注意,如果dfs.datanode.address设置为特权端口,则不能在数据传输协议上使用SASL。 出于向后兼容性的原因,这是必需的。
配置HDFS
Hadoop的配置分为2步:
创建Principal和*unix用户的映射关系。
例如我们上面datanode服务的Principal是dn/cdh1@HADOOP.COM,默认的hadoop.security.auth_to_local规则是将instance和realm去掉,只保留dn,但实际上hdfs的用户maybe不是dn(我这里操作hdfs的用户是hadoop,如果你用包安装的话可能是叫hdfs,具体可以看hdfs上默认文件的用户是谁),dn这个用户在linux机器里也不存在,那么dn连接nn的时候,会提示错误找不到这个用户的组:

2016-06-07 19:06:58,329 INFO SecurityLogger.org.apache.hadoop.ipc.Server: Auth successful for dn/cdh2@HADOOP.COM (auth:KERBEROS)
2016-06-07 19:06:58,393 WARN org.apache.hadoop.security.UserGroupInformation: No groups available for user dn
2016-06-07 19:06:58,393 INFO org.apache.hadoop.ipc.Server: IPC Server handler 2 on 8020, call org.apache.hadoop.hdfs.server.protocol.DatanodeProtocol.versionRequest from 192.168.103.224:55035 Call#0 Retry#0: org.apache.hadoop.security.AccessControlException: Access denied for user dn. Superuser privilege is required

map配置方法:修改core-site.xml,增加:

<property>
  <name>hadoop.security.auth_to_local</name>
  <value>RULE:[2:$1@$0]([nd]n@ZELDA.COM)s/.*/dtdream/DEFAULT</value>
</property>

RULE的写法可以参考这儿,跟Kerberos的规则一样。具体到hadoop,这篇文章更直接一点。

上面的RULE表示会将nn和dn都替换为dtdream。

2、配置HDFS

2.1 总的配置

详细各参数的说明请见hortonworks官网,下面直接贴出来我的配置,略长。

<property>
  <name>dfs.block.access.token.enable</name>
  <value>true</value>
</property>

<!-- NameNode security config -->
<property>
  <name>dfs.namenode.kerberos.principal</name>
  <value>nn/_HOST@HADOOP.COM</value>
</property>
<property>
  <name>dfs.namenode.keytab.file</name>
  <value>/etc/security/nn.service.keytab</value> <!-- path to the HDFS keytab -->
</property>
<property>
  <name>dfs.https.port</name>
  <value>50470</value>
</property>
<property>
  <
最低0.47元/天 解锁文章
波波happy
关注
专栏目录
【精】HDFS的HA系列(三)--- 启动ZKFC初始化zookeeper以及相关回调函数
Badme
01-10 1534
【精】HDFS的HA系列(三)--- 启动ZKFC初始化zookeeper以及相关回调函数
hadoop配置文件详解系列(二)-hdfs-site.xml篇
关于代码的那些事
03-09 2397
上一篇介绍了core-site.xml的配置,本篇继续介绍hdfs-site.xml的配置。 属性名称 属性值 描述 hadoop.hdfs.configuration.version 1 配置文件的版本 dfs.namenode.rpc-address   处理所有客户端请求的RPC地址,若在HA场景中,可能有多个namenode,就把名称ID添加到进来。该属性的格式为nn-host1:rpc-port。 d
SASL
caoruntaogmail的博客
03-29 178
SASL全称Simple Authentication and Security Layer,是一种用来扩充C/S模式验证能力的机制。
hivemetastore No data or no sasl data in the stream
最新发布
weixin_41244841的博客
07-15 50
解决"hivemetastore No data or no sasl data in the stream"问题指南 1. 整体流程 #render_6_3737086600-svg{font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fi...
大数据技术之Hadoop(HDFS)概述、Shell操作、API操作、读写流程、工作机制
huxili2020的博客
06-16 1495
文章目录1 HDFS 概述1.1 HDFS 产生背景及定义1.2 HDFS 优缺点1.3 HDFS 组成架构1.4 HDFS 文件块大小(面试重点)2 HDFS 的 Shell操作(开发重点)2.1 基本语法2.2 命令大全2.3 常用命令实操3 HDFS 的 API操作3.1 客户端环境准备1.3.6 推荐系统框架图2 Hadoop 运行环境搭建(开发重点)2.1 模板虚拟机环境准备2.2 克隆虚拟机2.3 在 hadoop102 安装 JDK2.4 在 hadoop102 安装 Hadoop2.5 H.
HDFS安全认证参数详解
行路中
04-18 903
请先阅读HDFSRPC协议详解HDFSRPC安全认证Kerberos篇HDFSRPC安全认证Token篇HDFSRPC安全认证Token篇2,对整体的框架有一定的了解。
HIVE_DATAX取数供数问题记录
悢七的CSDN博客
05-11 715
Hadoop本身的用户和组的关系,都是同步Linux系统中的,但是HDFS和Linux的超级用户组又有一点差别,HDFS中的超级用户组是supergroup,但是Linux中默认是没有supergoup这个组,这个时候只需要在Linux中增加supergroup这个组,然后将要在HDFS中加入到supergroup中的用户加到这个组中,再同步HDFS用户和组即可。解决办法:在hive的配置文件hive-site.xml中开启hiveserver2服务的高可用,即掉线了会马上再开启一个,配置如下。
HDFS RBF模式RPC吞吐量瓶颈的优化探索
热门推荐
走在前往架构师的路上
08-08 1万+
文章目录前言RBF模式的RPC吞吐量问题原因猜想网络延时的影响Router本身服务处理的影响 前言 之前笔者介绍过HDFS的RBF方案来解决HDFS NameNode单点瓶颈的问题。目前也是有越来有多的公司采用RBF的方案来做HDFS集群的统一管理。笔者在最近一段时间也是在调研RBF的特性同时也是测测这里面还有没有一些没有被发现的问题。在此期间,我和同事小伙伴发现里面最大的一个问题:上了RBF后,RPC的上限吞吐量比之前直连NN时降了非常之多。之前直连NN测试时,我们可以压到30k+的水准,在RBF模式
hadoop2.6安装HUE,配置hdfs,yarn,hive
l-jobs的专栏
04-17 1551
HUE简介:通过使用Hue我们可以在浏览器端的Web控制台上与Hadoop集群进行交互来分析处理数据。简单来讲,就是用图形化的界面来操作HDFS上的数据,运行MapReduce Job,执行Hive的SQL语句,浏览Hbase数据库,oozie,flume等等。网络上单一的教程不足以帮助人安装成功,故写下此篇文章,记录下安装过程。本篇博客资料来源:官网网站:http://gethue.com/官网...
HDFS内部的认证机制
走在前往架构师的路上
06-05 1万+
前言 数据的安全性是一直被大家所重视的.对于一个存有大规模数据量的成熟企业来说,如何做到数据不丢失,不损坏,不窃取就显得格外重要了.而HDFS恰恰满足了”海量数据规模”的特点,所以如果我们用HDFS存储大量的非结构化的数据,我们如何保证其中数据的安全性呢?在之前的文章中,有提到过一个”Encryption Zone”数据加密空间的概念.Encryption Zone可以保证用户在指定的加密空
Hadoop(2.7.3)安全模式-hadoop kerberos官方配置详解
m1213642578的专栏
09-06 1万+
这篇文档描述了如何为Hadoop在安全模式配置认证。当Hadoop被配置运行在安全模式下时,每个Hadoop服务和每个用户都必须被Kerberos认证。正向方向的主机去查找所有服务的主机,必须被正确地配置来相互认证。
Hadoop默认配置项之hdfs-default
qq_42417269的博客
09-15 689
hadoop的默认配置hdfs-default。
HDFS的安全身份验证
互联网知识分享
07-23 1141
hadoop.security.group.mapping.ldap.bind.password.file:指定了LDAP服务器管理员用户的密码文件。hadoop.security.group.mapping.ldap.search.filter.user:指定了用户查询过滤器。hadoop.security.group.mapping.ldap.search.filter.group:指定了组查询过滤器。dfs.namenode.keytab.file:指定了NameNode的服务密钥文件。
HDFSDATANODE数据传输详解
行路中
03-17 1960
本文主要阐述datanode中一个socket连接接收字节流的构成,帮助datanode的接收与处理数据。注意hadoop版本为3.1.1。
Hadoop常用端口号
Markble
09-22 5074
HDFS、YARN、HBase、Hive、Zookeeper常用端口号: 组件 节点 默认端口 配置 用途说明 HDFS DateNode 50010 dfs.datanode.address datanode服务端口,用于数据传输 HDFS DateNode 50075 dfs.datanode.http.address http服务的端口 HDFS DateNode 50475 dfs.datano.
Hadoop学习笔记—HDFS
weixin_38166318的博客
04-03 398
[TOC] 上一份工作主要负责大数据平台的建设,在这个过程中积累了一些Hadoop生态组件的搭建和使用笔记,由于时间关系,不打算去修改其中的错别字和排版问题,直接释出原始笔记。 搭建安装 三个核心组件 一个hadoop基本集群,牵涉三个组件: hdfs 负责分布式的文件存储 yarn 负责分布式的资源管理 mr 负责分布式计算安装 配置环境变量 配置etc/hadoop/hadoop-env.sh、etc/hadoop/hadoop-env.sh、etc/hadoop/yarn-env.sh 这三个脚
hadoop http address绑定内网地址
云计算?
11-16 629
hadoop默认配置里http address接口domain段均为0.0.0.0,表示可通过任一网卡访问http接口,对于双网卡服务器(一个内网,一个外网),意味着公网用户可以随意访问hadoop系统开放的web资源,存在极大的安全隐患。 我们可以修改配置将domain段替换成内网IP,这对于dfs.http.address、mapred.job.tracker.http.address没什么...
Hadoop集成Kerberos安全服务器
qq_43541182的博客
03-16 1480
公司里要给Hadoop配置Kerberos,记录一下过程中遇到的问题。
Java连接Hadoop HDFS配置详解
"Java通过Hadoop的API与HDFS进行交互需要特定的配置步骤,本文主要阐述了如何配置Java环境以正确访问Hadoop分布式文件系统。核心在于理解并正确设置两个关键的配置文件:core-site.xml和hdfs-site.xml。" 在Java中...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值