hdfs-原生hdfs开启kerberos

最新推荐文章于 2024-05-12 06:55:28 发布
最新推荐文章于 2024-05-12 06:55:28 发布
阅读量454 收藏 1
点赞数
分类专栏: CDH
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34224565/article/details/109801463
版权

简介

本文档描述如何在安全模式下配置Hadoop的身份验证。
默认情况下,Hadoop以非安全模式运行,在这种模式下不需要实际的身份验证。通过配置Hadoop在安全模式下运行,每个用户和服务都需要通过Kerberos身份验证才能使用Hadoop服务。
Hadoop的安全特性包括身份验证、服务级授权、Web控制台身份验证和数据保密。

认证

终端用户账户

当启用服务级别身份验证时,在安全模式下使用Hadoop的最终用户需要使用Kerberos身份验证。进行身份验证的最简单方法是使用Kerberos的kinit命令。

hadoop进程的用户

Ensure that HDFS and YARN daemons run as different Unix users, e.g. hdfs and yarn. Also, ensure that the MapReduce JobHistory server runs as different user such as mapred.
确保hdfs和yarn的进程使用不同的linux用户,比如hdfs和yarn。另外,确保mr jobHistory服务使用不同的用户比如mapred用户。
建议让它们共享一个Unix组,比如hadoop,
在这里插入图片描述

hadoop进程和用户的krb principals

为了以安全模式在hadoop中运行hadoop服务守护进程,需要Kerberos主体。每个服务使用适当的权限读取保存在keytab文件中的auhenticate信息。
HTTP web控制台应该由主体提供不同于RPC的服务。
下面的子节将展示Hadoop服务的凭据示例。

Kerberos principal 和linux用户的映射

Hadoop maps Kerberos principal to OS user account using the rule specified by hadoop.security.auth_to_local which works in the same way as the auth_to_local in Kerberos configuration file (krb5.conf). In addition, Hadoop auth_to_local mapping supports the /L flag that lowercases the returned name.

By default, it picks the first component of principal name as a user name if the realms matches to the default_realm (usually defined in /etc/krb5.conf). For example, host/full.qualified.domain.name@REALM.TLD is mapped to host by default rule.

krb principal和OS用户的映射使用hadoop.security.auth_to_local,其工作方式和krb5.conf中的auth_to_local属性相同。另外,其支持/L小写。
默认情况下,如果principal的realm是default_realm,会使用三段中的第一段作为用户名,比如host/full.qualified.domain.name@REALM.TLD会被映射为host用户

用户和组的映射

尽管HDFS上的文件有属主和组,但hadoop本身没有组的概念,通过组管理用户使用OS或者LDAP。
You can change a way of mapping by specifying the name of mapping provider as a value of hadoop.security.group.mapping See HDFS Permissions Guide for details.
实际上要使用集成了LDAP的kerberos来管理SSO环境

zdkdchao
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HDFS配置Kerberos认证
wulantian的专栏
12-26 4万+
HDFS配置Kerberos认证 2014.11.04 本文主要记录 CDH Hadoop 集群上配置 HDFS 集成 Kerberos 的过程,包括 Kerberos 的安装和 Hadoop 相关配置修改说明。 注意: 下面第一、二部分内容,摘抄自《Hadoop的kerberos的实践部署》,主要是为了对 Hadoop 的认证机制和 Kerberos 认证协议做个简单
hdfs配置kerberos
10-27
本文档记录了为hadoop的hdfs配置kerberos的过程,hadoop用的版本是2.4.1。其中有一些作者的个人经验,希望对读者有帮助。
最全Hadoop 配置 Kerberos 认证_hadoop kerberos认证(2),阿里珍藏版大数据开发框架体系架构手写文档
最新发布
2401_84166567的博客
05-12 814
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上大数据知识点,真正体系化!由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新需要这份系统化资料的朋友,可以戳这里获取 yarn.log.server.url https://bigdata0.example.com:19890/jobhis
HDFS使用Kerberos
热门推荐
一只刚刚上路的猿
02-17 2万+
转载自:http://www.datastart.cn/tech/2016/06/07/kerberos-1.html 本文尝试记录HDFS各服务配置使用kerberos的过程,配置的东西比较多,一定会有疏漏。 我的环境: 三台服务器,分别命名为zelda1、zelda2、zelda3ubuntu 14.04hadoop 2.7.2spark 2.0/1.6.1
[ HDFS 3.1.x ] 开启Kerberos配置&使用
张伯毅的专栏
03-28 5345
.一 .前言1.1. 环境说明1.2. 服务规划二 .安装HDFS2.1. 添加用户2.2. 配置HDFS相关的Kerberos账户2.2.1. 创建keytab存放目录2.2.2. 配置master01上面运行的服务对应的Kerberos账户2.2.3. 权限设置2.2.4. 编译源码构建Linux-Container-executor2.2.5. 设置 hadoop 需要使用的各个目录的权限2.3. 配置hadoop的 lib/native(本地运行库)2.4. 设置 HDFS 的配置文件2.4.2.
HDFS配置kerberos
qq_25617289的博客
05-11 678
1:在hadoop01机器上添加其他节点的3个认证 t添加对hdfs的认证: kadmin.local -q "addprinc -randkey hdfs/hadoop01@DYLAN.COM" kadmin.local -q "addprinc -randkey hdfs/hadoop02@DYLAN.COM" kadmin.local -q "addprinc -randkey...
hdfs-over-ftp源码(maven工程)
06-14
基于原生组件二次开发,maven工程,pom.xml文件中可引入对应集群的版本的jar,即可支持多种,...配置文件只增加了core.properties,关于kerberos信息配置,以及集群核心的配置文件加入工程即可,其他配置使用原生即可。
大数据 hdfs-over-ftp jar包
04-14
基于maven工程打包的可执行jar包,支持hadoop版本cdh5.12.1,以及kerberos认证,配置kerberos信息的核心配置文件core.properties,下载集群相关认证信息配置即可,其他配置文件信息是原生的,可使用原生脚本生成配置...
hdfs-over-ftp
06-14
基于maven工程打包的可执行jar包,支持hadoop版本cdh5.12.1,以及kerberos认证,配置kerberos信息的核心配置文件core.properties,下载集群相关认证信息配置即可,其他配置文件信息是原生的,可使用原生脚本生成配置...
hadoop-hdfs-httpfs-0.23.10.zip
10-14
HTTPFS通过身份验证和授权机制确保了安全性,支持Kerberos等认证协议,保证只有经过验证的用户才能访问HDFS资源。 **HTTP Stub Server Scala详解:** HTTP Stub Server Scala是一个轻量级的测试工具,用于模拟HTTP...
Hadoop部署和配置Kerberos安全认证
05-17
Hadoop部署和配置Kerberos安全认证全套流程。已经过实测并部署与生产环境。
华为FusionStorage HDFS大数据存储Data Sheet.pdf
09-23
同时,该系统支持高达22+2大比例EC,利用率达到91.7%,远高于原生HDFS EC和三副本机制,降低客户投资成本。 在系统可靠性方面,FusionStorage大数据存储采取多重可靠性设计,保障系统高可用。系统全冗余部署,最大...
HDFS 集成 Kerberos
mnasd的博客
09-20 2557
本文主要记录 CDH Hadoop 集群上配置 HDFS 集成 Kerberos 的过程,包括 Kerberos 的安装和 Hadoop 相关配置修改说明。注意:下面第一、二部分内容,摘抄自《》,主要是为了对 Hadoop 的认证机制和 Kerberos 认证协议做个简单介绍。
【安全】Apache HDFS 上配置 kerberos
九师兄
11-02 1862
4.1 创建认证规则 在 Kerberos 安全机制里,一个 principal 就是 realm 里的一个对象,一个 principal 总是和一个密钥(secret key)成对出现的。 这个 principal 的对应物可以是 service,可以是 host,也可以是 user,对于 Kerberos 来说,都没有区别。 Kdc(Key distribute center) 知道所有 pr...
HDFS集成kerberos认证
弄潮大数据的博客
10-27 812
HDFS集成kerberos认证
一篇文章搞懂 HDFSKerberos 认证
Shockang的博客
06-10 2万+
前言 本文隶属于专栏《1000个问题搞定大数据技术体系》,该专栏为笔者原创,引用请注明来源,不足和错误之处请在评论区帮忙指出,谢谢! 本专栏目录结构和参考文献请见1000个问题搞定大数据技术体系 正文 Kerberos 认证 Kerberos 是一种网络认证协议,它使用加密来提供高度安全的认证机制。 这种认证机制由于具备以下功能而大受欢迎。 相互认证:在进行会话之前,客户端和服务器可以进行相互认证。 单点登录:一旦登录,令牌(token)的有效时间就确定了。令牌有效性的持续时间决定了会话的最长时间。
Hadoop开启Kerberos安全模式
木木与呆呆的专栏
11-20 3172
Hadoop开启Kerberos安全模式, 基于已经安装好的Hadoop的2.7.1环境, 在此基础上开启Kerberos安全模式。 1.安装规划 已经安装好Hadoop的环境 10.43.159.7 zdh-7 hdfsone/zdh1234 Kerberos服务器 10.43.159.11 zdh-11 kerberos server 2.创建用户的k...
怎样配置HDFS相关的Kerberos账户?
zy1992As的博客
06-14 235
Hadoop需要Kerberos来进行认证,以启动服务来说,在后面配置 hadoop 的时候我们会给 对应服务指定一个Kerberos的账户,比如 namenode 运行在cdh0机器上,我们可能将 namenode 指定给了 nn/cdh0.itcast.cn@ITCAST.CN 这个账户, 那么 想要启动 namenode 就必须认证 这个账户才可以。1. 在每个节点执行 mkdir /etc/security/keytabs。2. 配置cdh0上面运行的服务对应的Kerberos账户。
hdfs --daemon
08-31
hdfs --daemon start datanode是Hadoop分布式文件系统(HDFS)命令之一,用于启动一个数据节点(Datanode)守护进程。 数据节点是HDFS集群中存储和管理实际数据的节点,它们负责处理客户端的读写请求,并与其他数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值