ranger权限管理、rang kms 秘钥管理、kerberos认证服务整合应用(ambari 平台上安装)

最新推荐文章于 2024-07-23 17:59:32 发布
最新推荐文章于 2024-07-23 17:59:32 发布
阅读量1.8k 收藏
点赞数
分类专栏: hadoop ranger

一、ranger权限管理安装

        ranger安装参考:https://docs.hortonworks.com/HDPDocuments/HDP2/HDP-2.5.0/bk_security/content/ch03s01s03s01.html

 
二、rang kms 秘钥管理安装

        ranger kms安装参考:https://docs.hortonworks.com/HDPDocuments/HDP2/HDP-2.5.0/bk_security/content/ch06s01s01s01.html

 
三、kerberos认证服务安装

kerberos 常用命令:
 

kadmin.local  //以超管身份进入kadmin
 
kadmin    //进入kadmin模式,需输入密码
 
kdb5_util create -r JENKIN.COM -s    //创建数据库
 
service krb5kdc start    //启动kdc服务
 
service kadmin start    //启动kadmin服务
 
service kprop start     //启动kprop服务
 
kdb5_util dump /var/kerberos/krb5kdc/slave_data    //生成dump文件
 
kprop -f /var/kerberos/krb5kdc/slave_data master2.com    //将master数据库同步是slave
 
kadmin模式下:
 
  addprinc -randkey root/master1@JENKIN.COM   //生成随机key的principal
 
  addprinc admin/admin    //生成指定key的principal
 
  listprincs    //查看principal
 
  change_password -pw xxxx admin/admin  //修改admin/admin的密码
 
  delete_principal  admin/admin    //删除principal
 
kinit admin/admin    //验证principal是否可用
 
 
ktadd -k /etc/security/keytabs/hdfs.keytab hdfs/master@HQGF.COM    //kadmin模式下使用
                                                                         //可生成keytab
 
kinit -k -t /var/kerberos/krb5kdc/keytab/root.keytab root/master1@JENKIN.COM     //测试keytab是否可用
 
klist -e -k -t /var/kerberos/krb5kdc/keytab/root.keytab    //查看keytab
 
kdestroy     //销毁当前获取的票

一,先升级再安装server,执行以下命令

yum install krb5-server krb5-libs krb5-workstation

二、修改三个配置文件

 

第一个文件 /etc/krb5.conf

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log
 
[libdefaults]
 default_realm = HQGF.COM
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 
[realms]
 HQGF.COM = {
  kdc = master
  admin_server = master
 }
 
[domain_realm]
 .example.com = HQGF.COM
 example.com = HQGF.COM

第二个文件 /var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88
 
[realms]
 HQGF.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }
!

第三个文件 /var/kerberos/krb5kdc/kadm5.acl (注意后面的 “*” 号不可以跟前面的字符连接在一起必须空格)

*/admin@HQGF.COM     *

三、创建kerberos 应用

/usr/sbin/kdb5_util create -s -r HQGF.COM

四、启动服务

 

  • service krb5kdc start

  •  

  • service kadmin start

六、添加principal

[root@ws1es ~]# kadmin.local 
Authenticating as principal root/admin@HQGF.COM with password.
kadmin.local:  addprinc admin/admin@HQGF.COM
WARNING: no policy specified for admin/admin@HQGF.COM; defaulting to no policy
Enter password for principal "admin/admin@HQGF.COM": 
Re-enter password for principal "admin/admin@HQGF.COM": 
Principal "admin/admin@HQGF.COM" created.
kadmin.local:  listprincs 
K/M@HQGF.COM
admin/admin@HQGF.COM
kadmin/admin@HQGF.COM
kadmin/changepw@HQGF.COM
kadmin/ws1es.wondersoft.cn@HQGF.COM
krbtgt/HQGF.COM@HQGF.COM

七、重启服务

service kadmin restart
11.下载JCE
补充1:
JCE(Java Cryptography Extension)是一组包,它们提供用于加密、密钥生成和协商以及 Message Authentication Code(MAC)算法的框架和实现。
它提供对对称、不对称、块和流密码的加密支持,它还支持安全流和密封的对象。它不对外出口,用它开发完成封装后将无法调用。
补充2:
If you are using Oracle JDK, you must distribute and install the JCE on all hosts in the cluster, including the Ambari Server. 
Be sure to restart Ambari Server after installng the JCE. If you are using OpenJDK, some distributions of the OpenJDK
 come with unlimited strength JCE automatically and therefore, installation of JCE is not required.
 
For Oracle JDK 1.8:
 
http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html
 
For Oracle JDK 1.7:
 
http://www.oracle.com/technetwork/java/javase/downloads/jce-7-download-432124.html




将下载的JCE解压并覆盖$JAVA_HOME/jre/lib/security/目录下的文件(所有节点)

 

 

 

 

 

 

 

十七、安装成功后,查看它自动创建的principal和keytab

[root@master krb5kdc]# kadmin.local
Authenticating as principal root/admin@HQGF.COM with password.
kadmin.local:  listprincs
HTTP/master.hqgf.com@HQGF.COM
HTTP/master@HQGF.COM
HTTP/slave222.hqgf.com@HQGF.COM
HTTP/slave223.hqgf.com@HQGF.COM
HTTP/slave227.hqgf.com@HQGF.COM
HTTP/slave228.hqgf.com@HQGF.COM
K/M@HQGF.COM
activity_explorer/master.hqgf.com@HQGF.COM
activity_explorer/slave222.hqgf.com@HQGF.COM
admin/admin@HQGF.COM
ambari-qa-hqgf@HQGF.COM
ambari-server-hqgf@HQGF.COM
amshbase/slave222.hqgf.com@HQGF.COM
amszk/slave222.hqgf.com@HQGF.COM
dn/slave223.hqgf.com@HQGF.COM
dn/slave227.hqgf.com@HQGF.COM
dn/slave228.hqgf.com@HQGF.COM
hbase-hqgf@HQGF.COM
hbase/master.hqgf.com@HQGF.COM
hbase/slave222.hqgf.com@HQGF.COM
hdfs-hqgf@HQGF.COM
hive/master.hqgf.com@HQGF.COM
hive/slave222.hqgf.com@HQGF.COM
hive/slave223.hqgf.com@HQGF.COM
hive/slave227.hqgf.com@HQGF.COM
hive/slave228.hqgf.com@HQGF.COM
jhs/master.hqgf.com@HQGF.COM
jn/slave223.hqgf.com@HQGF.COM
jn/slave227.hqgf.com@HQGF.COM
jn/slave228.hqgf.com@HQGF.COM
kadmin/admin@HQGF.COM
kadmin/changepw@HQGF.COM
kadmin/master@HQGF.COM
kafka/slave223.hqgf.com@HQGF.COM
kafka/slave227.hqgf.com@HQGF.COM
kafka/slave228.hqgf.com@HQGF.COM
kiprop/master@HQGF.COM
krbtgt/HQGF.COM@HQGF.COM
livy/master.hqgf.com@HQGF.COM
livy/slave222.hqgf.com@HQGF.COM
nfs/master.hqgf.com@HQGF.COM
nfs/slave222.hqgf.com@HQGF.COM
nm/slave223.hqgf.com@HQGF.COM
nm/slave227.hqgf.com@HQGF.COM
nm/slave228.hqgf.com@HQGF.COM
nn/master.hqgf.com@HQGF.COM
nn/slave222.hqgf.com@HQGF.COM
oozie/master.hqgf.com@HQGF.COM
rangeradmin/master.hqgf.com@HQGF.COM
rangerkms/master.hqgf.com@HQGF.COM
rangerlookup/master.hqgf.com@HQGF.COM
rangertagsync/master.hqgf.com@HQGF.COM
rangerusersync/master.hqgf.com@HQGF.COM
rm/master.hqgf.com@HQGF.COM
rm/slave222.hqgf.com@HQGF.COM
spark-hqgf@HQGF.COM
yarn/master.hqgf.com@HQGF.COM
zookeeper/slave222.hqgf.com@HQGF.COM
zookeeper/slave223.hqgf.com@HQGF.COM
zookeeper/slave227.hqgf.com@HQGF.COM
zookeeper/slave228.hqgf.com@HQGF.COM

四、ranger +kerberos+ranger kms 透明加密 实例
 

      1.添加系统用户hadooptest

       

    添加用户名:useradd hadooptest
    设置用户密码为hadooptest:passwd hadooptest

 

 

       2.把hadooptest用户添加到kerberos认证中

 
 

先进入admin/admin princ输入密码,执行:
kinit admin/admin
查看是否进入:
klist -e
进入后可以看到如下结果:
Ticket cache: FILE:/tmp/krb5cc_1040
Default principal: admin/admin@HQGF.COM
 
Valid starting       Expires              Service principal
2018-05-17T09:51:47  2018-05-18T09:51:47  krbtgt/HQGF.COM@HQGF.COM
        Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96
退出hadooptest用户使用root用户进入kadmin.local配置,执行:
su root
kadmin.local
进入后执行并输入密码hadooptest:



addprinc hadooptest
测试是否成功
kinit hadooptest
使用kadmin模式生成keytab执行
kdestroy     
kadmin
ktadd -k /etc/security/keytabs/hadooptest.keytab hadooptest@HQGF.COM
 
测试kerberos 认证是否成功:
kinit hadooptest
hdfs dfs -ls /        是否可以查看hdfs文件目录,如果认证不成功会一直报错的
到此hadooptest 认证已完成

     3.使用ranger 管理权限

 

 

权限分配完成后使用hadooptest上传文件到hdfs(具体读写操作用户自行测试):

 hdfs dfs -put /usr/hqgf/hive_user.txt /tmp/input/

 

 

 4.hdfs 使用ranger kms 创建加密区

 

1.添加系统用户hq
adduser hq
password hq
 
2.使用ranger 添加hq@HQGF.COM
kinit kadmin
kadmin.local
addprinc hq@HQGF.COM
 
3.kadmin模式下生成对应的keytab文件
kinit kadmin
kadmin
ktadd -k /etc/security/keytabs/hq.keytab hq@HQGF.COM
 


4.修改hq@HQGF.COM初始密码
kinit kadmin
kadmin
change_password -pw ambari hq
 
5.使用admin用户登录ranger 后台
  添加hq操作hdfs文件的权限,注意ranger+kerberos整合下hq用户不管在何种情况下
  都无法删除添加的文件和文件夹


 

  • 6.使用keyadmin用户登录ranger后台添加key管理(注意用户设置,用户必须拥有对加密区写的操作)

 

  • 7.选择服务添加key

  •  

  • 8.添加key

  • 9.使用keyadmin用户查看hdfs上是否已经生成了key
  • 10.使用key创建加密区
    hadoop key list -metadata   //查看已添加的key
    hdfs dfs -mkdir /zone_encr
    hdfs crypto -createZone -keyName key -path /zone_encr
    hdfs crypto -listZones
 
  11.测试(效果怎么样自己去试)
    使用hq 用户在加密区上传下载文件
    再使用其他用户上传下载文件

     

mnasd
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
KerberosRanger、KMS整合
光于前裕于后的博客
02-07 7788
环境:Ambari-2.4.2、HDP-2.5.3、CentOS 6.5 1.之前用的是HDP2.4,装上KerberosRanger的策略就失效了,KMS秘钥也无法管理(WEB端),总感觉是因为哪里没配置好,但装装卸卸好多遍还是不行。http://docs.hortonworks.com/HDPDocuments/HDP2/HDP-2.5.3/bk_command-line-upgrade/c
Kerberos安装以及使用ambari开启HDP集群Kerberos认证
memoordit的专栏
03-26 5693
文章目录环境准备安装KDC MASTER安装KDC SLAVER安装客户端:使用ambari 环境准备 安装jdk 下载Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy File。解压下载后的zip包,将得到的jar包放到所有服务器上的$JAVA_HOME/jre/lib/security/目录下。 安装KD...
ranger权限管理rang kms 秘钥管理kerberos认证服务整合应用(ambari 平台安装)...
dingweijson的博客
05-17 2645
一、ranger权限管理安装         ranger安装参考:https://docs.hortonworks.com/HDPDocuments/HDP2/HDP-2.5.0/bk_security/content/ch03s01s03s01.html   二、rang kms 秘钥管理安装         ranger kms安装参考:https://docs.hortonwo...
Ambari 搭建
qq_42496461的博客
01-11 410
基于华为云服务器 CentOS 7.x 搭建Ambari集群
hadoop大数据安全管理:ldap、keberos、ranger
最新发布
qq_41358574的博客
07-23 1128
hadoop大数据中认证一般用keberos,授权用ranger,kerberos和Ldap组件共同组成整个集群的安全鉴权体系,Ldap负责用户数据存储。kerberosKerberos 是一种网络认证协议,用于在不安全的网络中以安全的方式对用户和服务进行身份验证。它通过使用密钥加密技术来防止数据被窃听或篡改,确保了认证过程的安全性。kerberos管理的一个用户或者服务叫Principal,其格式通常如下:primary/instance@realm。
ambari开启kerberos
warrah 南极狼
01-23 917
网上一些跟Ambari启用Kerberos,看似很简单,但实际按照这个配置,遇到的问题连解决方案都不好找。启用了kerberos,想要也没有那么简单,ambari关闭kerberos,大数据集群起都起不来,因为有些内容还得手工删除,真是骑虎难下。我之前开启了ranger,比较简单。后来想着kerberos也一样,于是也起来,结果发现安全模式下,会更改ambari的一些配置,导致一堆报错 Remove ats-hbase before switching between clusters,出了问题找这篇文章,
Apache Ranger KMS 部署
weixin_42728895的博客
04-01 2926
参考链接: https://blog.csdn.net/lsshlsw/article/details/103930388 https://blog.csdn.net/wank1259162/article/details/122438175 1.背景 需要一个高可用的 KMS 服务用于数据静态加密(HDFS 透明加密 / ORC格式列加密),hadoop 原生基于 java keystore 的 KMS 方案在生产环境并不可靠,列了几种可能的方案: 使用内部自建的 KMS ,实现 hadoop provi
Ranger】hortonworks ambari安装ranger错误解决
人生所向,皆是美好
02-27 3853
文章目录安装时依次解决的问题1 /usr/hdp/current/ranger-usersync/conf doesn't exist2. Access denied for user 'root'@'10.211.55.60' to database 'mysql' ErrorCode: 10443. cannot change directory to /home/ranger: Permi...
Ambari系列1:Ambari 2.7.4 和HDP 3.1.4 离线安装
shangjg3的博客
08-14 414
THP的目的是通过将页表项映射更大的内存,来减少 Page Fault,从而提升 TLB (Translation Lookaside Buffer,由存储器管理单元用于改进虚拟地址到物理地址的转译速度)的命中率。结合存储器层次结构设计原理可知,当程序的访存局部性较好时,THP 将带来性能提升,反之 THP 的优势不仅丧失,还有可能化身为恶魔,引起系统的不稳定。/var/www/html 目录,在此目录下创建ambari目录,并将以下三个文件上传到ambari目录。4.10 配置各个大数据组件的账号信息。
Apache Ranger安装部署
大数据指北
03-26 1699
Apache Ranger提供一个集中式安全管理框架, 并解决授权和审计。它可以对Hadoop生 态的组件如HDFS、Yarn、 Hive、 Hbase等进行细粒度的数据访问控制。 通过操作Ranger控制台,管理员可以轻松的通过配置策略来控制用户访问权限。 前置环境 ●JDK运行RangerAdmin RangerKMS ●RDBMS 1.存储授权策略2.存储Ranger用户/组3.存储审...
基于Ambari大数据集群安装03-ambari安装
knewus的博客
10-19 204
文章目录安装mysql安装ambari-server 安装mysql yum install mariadb* -y service mariadb start chkconfig mariadb on 配置mariadb mysql_secure_installation 创建ambari依赖数据库 use mysql; update user set Host='%' where user='root' and Host='127.0.0.1'; FLUSH PRIVILEGES; CREATE D
Apache Ranger KMS 部署文档
偷闲小苑
01-10 5669
很久没写过部署文档了,不过 Apache Ranger KMS 的手动部署较为繁琐,网上的相关资料基本都是散装的,因此写了一篇进行总结。 文章目录背景安装部署安装 ranger-admin安装 ranger-kmsHDFS 配置Kerberos 配置HA 配置KMS LUNA HSMFAQ后记参考 背景 需要一个高可用的 KMS 服务用于数据静态加密(HDFS 透明加密 / ORC格式列加密)...
Ranger安装部署 - 扩展组件安装
Swordfall的博客
04-20 2141
1. ranger-hdfsplugin安装 1.1 安装ranger hdfs plugin软件包 # pwd /opt/app/ranger-release-ranger-1.2.0/target # tar -zxvf ranger-1.2.0-hdfs-plugin.tar.gz 1.2修改install.properties文件 # pwd /home/redpeak...
HDFS加密存储(Ranger集成KMS方式)
qq_44530691的博客
04-18 3764
hdfs透明加密、Ranger集成KMS服务、Hadoop KMS
Ranger admin管理员密码忘记重置
2020xyz的博客
08-31 3401
##进入在ranger配置的元数据库中进行重置: mysql -uroot -p 或者: mysql -urangeradmin -p use ranger; ##重置admin密码为admin update x_portal_user set password = 'ceb4f32325eda6142bd65215f4c0f371' where login_id = 'admin'; select * from x_portal_user where login_id = 'admin'; ...
Apache ranger 简介、原理、安装部署
热门推荐
关注微信公众号「Coding我不配」
08-06 3万+
Apache Ranger提供一个集中式安全管理框架, 并解决授权和审计。它可以对Hadoop生态的组件如HDFS、Yarn、Hive、Hbase等进行细粒度的数据访问控制。通过操作Ranger控制台,管理员可以轻松的通过配置策略来控制用户访问权限。Ranger支持服务或组件Ranger支持的服务有HDFS、Hbase、Hive、Yarn、Strom、Kafka、Knox、Solr 等组件。
修改ranger ui的admin用户登录密码踩坑小记
weixin_34377065的博客
10-27 396
修改的ranger ui的admin用户登录密码时,需要在ranger的配置里把admin_password改成一样的,否则hdfs的namenode在使用admin时启动不起来,异常如下:Traceback (most recent call last): File "/var/lib/ambari-agent/cache/common-services/H...
权限管理-Ranger的介绍和使用(集成Hive)
迷雾总会解
06-15 6091
Apache Ranger是一个Hadoop平台上的全方位数据安全管理框架,它可以为整个Hadoop生态系统提供全面的安全管理。随着企业业务的拓展,企业可能在多用户环境中运行多个工作任务,这就需要一个可以对安全策略进行集中管理,配置和监控用户访问的框架。Ranger由此产生!Ranger的官网:https://ranger.apache.org/RangerUsersync作为Ranger提供的一个管理模块,可以将Linux机器上的用户和组信息同步到RangerAdmin的数据库中进行管理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值