zookeeper配置kerberos

最新推荐文章于 2024-07-25 15:39:35 发布
最新推荐文章于 2024-07-25 15:39:35 发布
阅读量2.7k 收藏 10
点赞数 3
文章标签: kerberos zookeeper 安全认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37911384/article/details/90406058
版权

zookeeper配置kerberos

前提:安装好zookeeper和kerberos

 

步骤:

1、创建kerberos用户

kadmin.local 
addprinc zookeeper/es1      //es1主机名

2、生成zookeeper认证用户keytab

kadmin.local -q "xst  -k /usr/local/zookeeper/keytab/zk.keytab  zookeeper/es1@HADOOP.COM"

3、修改zookeeper下config目录的zoo.cfg,添加以下内容

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
jaasLoginRenew=3600000
kerberos.removeHostFromPrincipal=true
kerberos.removeRealmFromPrincipal=true

4、在zookeeper的conf目录创建zookeeper-jaas.conf文件

Server {
 com.sun.security.auth.module.Krb5LoginModule required
 useKeyTab=true
 keyTab="/usr/local/zookeeper/keytab/zk.keytab"
 storeKey=true
 useTicketCache=false
 principal="zookeeper/es1@HADOOP.COM";
}; 
Client {
 com.sun.security.auth.module.Krb5LoginModule required
 useKeyTab=true
 keyTab="/usr/local/zookeeper/keytab/zk.keytab"
 storeKey=true
 useTicketCache=false
 principal="zookeeper/es1@HADOOP.COM";
};

5、在zookeeper的conf目录创建java.env文件,添加以下内容

export JVMFLAGS="-Djava.security.auth.login.config=/usr/local/zookeeper/conf/zookeeper-jaas.conf"

6、启动zookeeper

bin/zkServer.sh start

7、验证kerberos

步骤4中,zookeeper-jaas.conf配置文件的Server是服务端认证配置,我们可以通过zookeeper  
启动日志看出是否经过认证

zookeeper-jaas.conf配置文件的Client是客户端认证配置,我们可以使用命令进入客户端:  
bin/zkCli.sh -server es1:2181
如果配置了Client,并且认证通过,日志可看出认证相关信息,否则认证失败,连接也不成功。
去掉Client配置,则不需要认证客户端即可连接zookeeper

 

 

 

zookeeper集群配置kerberks

后来在集群中配置了kerberos,集群和单机版的配置差不多,我就是在各个节点配置按单机配置一样的,遇到一些问题,记录下来:

1、集群中时钟需要保持一致,不能相差太大 

2、客户端连接命令使用 zkCli.sh  -server  es1:2181,不能直接zkCli.sh

3、困扰我最久的一个问题就是下图这个错误,最终在服务端的日志找到些眉目,原因是有些jdk不支持256秘钥的AES加解密,解决方法就是更换jdk安全策略jar,在jre/lib/security的local_policy.jar和US_export_policy.jar

服务端错误日志:

Client failed to SASL authenticate: javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: Failure unspecified at GSS-API level (Mechanism level: Encryption type AES256 CTS mode with HMAC SHA1-96 is not supported/enabled)]

翻译:客户端无法SASL身份验证:javax.security.sasl.saslexception:gss initiate failed[由gssException引起:在gss-api级别未指定失败(机制级别:不支持/启用加密类型为aes256 cts模式和hmac sha1-96)]

 

有问题可直接私聊QQ:596031785

掌心里的海-Canace
关注
hadoop 上安装配置Kerberos支持的zookeeper
may_violin的专栏
11-18 1667
我的环境: Red Hat Enterprise Linux Server release 5.5 (查看系统版本的命令:lsb_release -a)  64位 Java 环境:jdk1.7.0_51 Hadoop版本:编译过源码的2.2.0 Hbase版本:0.94-17 zookeeper版本:
ZOOKEEPER、HDFS、YARN、HBASE配置Kerberos认证
程序猿丶HLK
02-28 5164
注:在配置kerberos认证之前,必须先确保成功安装kerberos集群 安装教程:Centos7安装大数据安全认证组件Kerberos。 一、环境说明 环境说明 系统环境 集群节点分布 名称 版本 IP地址 ...
zookeeper增加权限登录验证
11-19
针对zookeeper安全漏洞,增加了对访问ip地址的限制。
Zookeeper 开启kerberos配置
张伯毅的专栏
07-19 2928
一. 前言 这两天需要搞一个开启kerberoszookeeper环境用于测试. 顺手记录一下. 二. 安装步骤 2.1 前置环境准备 JDK : jdk1.8 服务器 : CentOS 7.5 软件版本: zookeeper : 2.4.8 前置环境: kerberos 安装 参考文档 2.2 安装zookeeper zookeeper安装我就不细说了, 先贴一个配置文件示例 , 后续的参数配置都是基于这个zoo.cfg配置文件的基础上进行修改. zoo.cfg 配置 # The numb
zookeeper开启SASL权限认证
最新发布
cj_eryue的博客
07-25 2014
ZooKeeper 不使用任何形式的身份验证并允许匿名连接。但是,它支持 Java 身份验证与授权服务(JAAS),可用于使用简单身份验证和安全层(SASL)设置身份验证
zookeeper+kerberos 集群安装
csq2002的专栏
12-04 946
zookeeper+kerberos 集群安装 下载: http://mirror.bit.edu.cn/apache/zookeeper/stable/zookeeper-3.4.12.tar.gz refer to: https://www.cnblogs.com/fesh/p/3900253.html   安装配置文件   echo "1" > /data/zookee...
zookeeper集成Kerberos
kxq的博客
10-29 1618
一、搭建zookeeper集群 将zookeeper-3.4.14文件上传到/bigdata/目录下, cd /bigdata/zookeeper-3.4.14/conf 1.1修改zoo.cfg配置文件: mv zoo_sample.cfg zoo.cfg vim zoo.cfg 配置如下: tickTime=2000 initLimit=10 syncLimit=5 clientPort=2181 dataDir=/bigdata/zookeeper-3.4.14/data dataLogDir=
Zookeeper、Hdfs配置kerberos认证
weixin_33943347的博客
09-04 341
2019独角兽企业重金招聘Python工程师标准>>> ...
zookeeper配置kerberos认证的坑
06-08
配置 ZooKeeperKerberos 认证时,可能会遇到一些坑。以下是一些可能出现的问题和解决方法: 1. 配置文件中缺少必要的属性,例如 principal、keytab、authProvider 等。确保在 zoo.cfg 文件中正确配置了这些属性...
kafka 配置kerberos安全认证
01-28
### Kafka配置Kerberos安全认证详解 #### 一、引言 Kafka 是一款高性能的消息队列服务,广泛应用于大数据处理领域。为了保障数据的安全性和完整性,Kafka 提供了多种安全认证机制,其中 Kerberos 认证是一种非常...
SASL config status: Will not attempt to authenticate using SASL (unknown error)
热门推荐
小馒头味的博客
03-04 1万+
报错: org.apache.zookeeper.ClientCnxn$EndOfStreamException: Unable to read additional data from server sessionid 0x108e8afac8f0077, likely server has closed socket 报错: org.apache.zookeeper.KeeperException$OperationTimeoutException: KeeperErrorCode = Operatio
Hadoop安装Hbase启动失败报错解决方法
wuhahaq的博客
04-11 2194
Hadoop安装Hbase启动失败报错解决方法
Zookeeper集群安装(开启kerberos)
木木与呆呆的专栏
08-22 1623
安装规划 zookeeper集群模式,安装到如下三台机器 10.43.159.237 zdh-237 10.43.159.238 zdh-238 10.43.159.239 zdh-239 Kerberos服务器 10.43.159.240 zdh-240 Kerberos客户端 zdh-237,zdh-238,zdh-239 安装用户 zookeeper...
hadoop、hbase、zookeeper整合kerberos,搭建安全平台
杂记
10-31 6366
随着Hadoop等大数据技术的普及,其平台的安全性日益受到企业的重视,特别是对安全性要求较高的通信、金融等领域。而安全性主要包括两个部分:Authentication、Authorization。 本文侧重于Authentication方面,旨在通用整合Kerberos,提升大数据平台的安全性,降低风险。 至于Authorization方面内容,另有篇幅描述。
Zookeeper配置Kerberos认证
weixin_34292402的博客
01-16 485
为什么80%的码农都做不了架构师?>>> ...
Hadoop安全认证(2)
行人事,知天命
08-02 9846
凭证过期处理策略 在最早的 Security features for Hadoop 设计中提出这样的假设: A Hadoop job will run no longer than 7 days (configurable) on a MapReduce cluster or accessing HDFS from the job will fail.
大数据Hadoop之——Zookeeper鉴权认证 -天天
qq_33023859的博客
07-14 2122
https://blog.csdn.net/qq_35745940/article/details/125156050 文章目录 一、Zookeeper概述与安装 二、Zookeeper Kerberos 鉴权认证 1)Kerberos安装 2)创建用户并生成keytab鉴权文件(前期准备) 3)独立zookeeper配置 1、配置zoo.cfg 2、配置jaas.conf 3、配置java.env 4、将配置copy到其它节点 5、启动服务 6、登录客户端验证 4)kafka内置zookeeper...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值