zookeeper集成Kerberos

最新推荐文章于 2024-07-01 12:36:12 发布
最新推荐文章于 2024-07-01 12:36:12 发布
阅读量1.4k 收藏 3
点赞数 1
分类专栏: hadoop 文章标签: bash linux 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39122146/article/details/121013854
版权

文章目录

一、搭建zookeeper集群

将zookeeper-3.4.14文件上传到/bigdata/目录下,

cd /bigdata/zookeeper-3.4.14/conf
1.1修改zoo.cfg配置文件:
mv zoo_sample.cfg zoo.cfg

vim zoo.cfg

配置如下:

tickTime=2000
initLimit=10
syncLimit=5
clientPort=2181
dataDir=/bigdata/zookeeper-3.4.14/data
dataLogDir=/bigdata/zookeeper-3.4.14/logs
server.1=192.168.27.201:2888:3888
server.2=192.168.27.202:2888:3888
server.3=192.168.27.203:2888:3888

cd /bigdata/zookeeper-3.4.14/

创建数据和日志文件夹:

mkdir data logs
1.2 创建myid
192.168.27.201 节点:
vim data/myid
1

将zookeeper目录分发到集群的其他节点:

[root@cdh1 bigdata]# xsync zookeeper-3.4.14

xsync 设置参考我的另一篇博客:https://blog.csdn.net/qq_39122146/article/details/121014308
修改cdh2、cdh3节点的myid

192.168.27.202 节点:
vim data/myid
2
```bash
192.168.27.203 节点:
vim data/myid
3
1.3 编写启动脚本:
[root@cdh1 zookeeper-3.4.14]# cat start.sh
#!/bin/bash
/bigdata/zookeeper-3.4.14/bin/zkServer.sh start
ssh cdh2 "source /etc/profile;/bigdata/zookeeper-3.4.14/bin/zkServer.sh start"
ssh cdh3 "source /etc/profile;/bigdata/zookeeper-3.4.14/bin/zkServer.sh start"

[root@cdh1 zookeeper-3.4.14]# cat status.sh
#!/bin/bash
/bigdata/zookeeper-3.4.14/bin/zkServer.sh status
ssh cdh2 "source /etc/profile;/bigdata/zookeeper-3.4.14/bin/zkServer.sh status"
ssh cdh3 "source /etc/profile;/bigdata/zookeeper-3.4.14/bin/zkServer.sh status"

[root@cdh1 zookeeper-3.4.14]# cat stop.sh
#!/bin/bash
/bigdata/zookeeper-3.4.14/bin/zkServer.sh stop
ssh cdh2 "/bigdata/zookeeper-3.4.14/bin/zkServer.sh stop"
ssh cdh3 "/bigdata/zookeeper-3.4.14/bin/zkServer.sh stop"

二、Kerberos认证

2.1生成keytab
#服务端
kadmin.local -q "addprinc -randkey zookeeper/cdh1.itcast.cn@ITCAST.CN "
kadmin.local -q "addprinc -randkey zookeeper/cdh2.itcast.cn@ITCAST.CN "
kadmin.local -q "addprinc -randkey zookeeper/cdh3.itcast.cn@ITCAST.CN "

kadmin.local -q "xst  -k /etc/security/keytabs/zk.keytab  zookeeper/cdh1.itcast.cn@ITCAST.CN "
kadmin.local -q "xst  -k /etc/security/keytabs/zk.keytab  zookeeper/cdh2.itcast.cn@ITCAST.CN "
kadmin.local -q "xst  -k /etc/security/keytabs/zk.keytab  zookeeper/cdh3.itcast.cn@ITCAST.CN "

#客户端
kadmin.local -q "addprinc -randkey zkcli/cdh1.itcast.cn@ITCAST.CN "
kadmin.local -q "addprinc -randkey zkcli/cdh2.itcast.cn@ITCAST.CN "
kadmin.local -q "addprinc -randkey zkcli/cdh3.itcast.cn@ITCAST.CN "

kadmin.local -q "xst  -k /etc/security/keytabs/zk.keytab  zkcli/cdh1.itcast.cn@ITCAST.CN "
kadmin.local -q "xst  -k /etc/security/keytabs/zk.keytab  zkcli/cdh2.itcast.cn@ITCAST.CN "
kadmin.local -q "xst  -k /etc/security/keytabs/zk.keytab  zkcli/cdh3.itcast.cn@ITCAST.CN "

将keytab文件拷贝到其他节点

xsync /etc/security/keytabs/zookeeper.keytab
xsync /etc/security/keytabs/zkcli.keytab

并设置权限

$ ssh cdh1 "cd /etc/security/keytabs/;chmod 400 *.keytab"
$ ssh cdh2 "cd /etc/security/keytabs/;chmod 400 *.keytab"
$ ssh cdh3 "cd /etc/security/keytabs/;chmod 400 *.keytab"

由于 keytab 相当于有了永久凭证,不需要提供密码(如果修改 kdc 中的 principal 的密码,则该 keytab 就会失效),所以其他用户如果对该文件有读权限,就可以冒充 keytab 中指定的用户身份访问 hadoop,所以 keytab 文件需要确保只对 owner 有读权限(0400)

2.1.2 修改 zookeeper 配置文件

在 cdh1 节点上修改 /bigdata/zookeeper-3.4.14/conf/zoo.cfg 文件,添加下面内容:

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
jaasLoginRenew=3600000

将修改的上面文件同步到其他节点:cdh2、cdh3:

xsync /bigdata/zookeeper-3.4.14/conf/zoo.cfg
2.1.3 创建 JAAS 配置文件

在 cdh1 的配置文件目录创建 jaas.conf 文件,内容如下:

[root@cdh1 zookeeper-3.4.14]# cat conf/jaas.conf
Server {
  com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=true
  keyTab="/etc/security/keytabs/zookeeper.keytab"
  storeKey=true
  useTicketCache=false
  principal="zookeeper/cdh1.itcast.cn@ITCAST.CN";
};
Client {
  com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=true
  keyTab="/etc/security/keytabs/zkcli.keytab"
  storeKey=true
  useTicketCache=false
  principal="zkcli/cdh1.itcast.cn@ITCAST.CN";
};

同样,在 cdh2 和 cdh3 节点也创建该文件,注意每个节点的 principal 有所不同。

然后,在 /etc/zookeeper/conf/ 目录创建 java.env,内容如下:

[root@cdh1 zookeeper-3.4.14]# cat conf/java.env
export JVMFLAGS="-Djava.security.auth.login.config=/bigdata/zookeeper-3.4.14/conf/jaas.conf"

重启测试zk是否正常启动:

sh start.sh

查看zk状态

[root@cdh1 zookeeper-3.4.14]# sh status.sh
ZooKeeper JMX enabled by default
Using config: /bigdata/zookeeper-3.4.14/bin/../conf/zoo.cfg
`Mode: follower`
ZooKeeper JMX enabled by default
Using config: /bigdata/zookeeper-3.4.14/bin/../conf/zoo.cfg
`Mode: leader`
ZooKeeper JMX enabled by default
Using config: /bigdata/zookeeper-3.4.14/bin/../conf/zoo.cfg
`Mode: follower`

测试客户端:

在这里插入图片描述
创建一个 znode 节点并查看:

[zk: cdh1:2181(CONNECTED) 0] create /znode1 sasl:zkcli/cdh1.itcast.cn@ITCAST.CN:cdwra
Created /znode1
[zk: cdh1:2181(CONNECTED) 1] getAcl /znode1
'world,'anyone
: cdrwa

注意:这是大坑啊,坑了我好几天

1、在jaas.conf文件中,principal主体错误,正确的主体名称格式: `zookeeper/<hostname>@<realm>`
2、当采用zkCli.sh 的方式请求中,默认的host应该是localhost,因此在kdc中才会发现客户端的请求和  zookeeper/localhost@NETEASE.COM 这个principal进行认证,但是在kerberos的database中却没有这个principal。
解决方法: 使用`zkCli.sh -server host:port` 访问。 同时zookeeper配置文件中sever部分的principal必须为`zookeeper/<hostname>@<your realm>`
3.zookeeper/<hostname>@<your realm>其中hostname`不能用_HOST`代替,不起作用
小二来碗面
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kerberos认证服务搭建、认证、常用命令
天空之蓝的博客
01-16 5787
文章目录安装KDC 服务器修改配置修改KDC的配置文件配置KDC服务的权限管理文件修改Kerberos配置文件信息初始化KDC数据库启动KDC服务器启动Kerberos服务器KDC 服务器上添加超级管理员账户搭建Kerberos客户端环境将服务端的配置文件拷贝到客户端客户端配置文件和服务段同步后,进行登陆,验证是否可以成功登陆Kerberos 一些基本操作命令使用kadmin.local命令进入...
hadoop快速集成kerberos认证
01-13
综上所述,这个压缩包提供了从零开始到完成Hadoop、HBase和ZooKeeper集成Kerberos认证所需的所有元素。通过这些脚本和配置文件,用户可以便捷地在自己的环境中实现高安全性的大数据处理。不过,为了确保安全性和正确...
Kerberos安全认证-连载11-HBase Kerberos安全配置及访问
qq_32020645的博客
06-22 3397
技术连载系列,前面内容请参考前面连载10内容:​​​​​​​​​​​​​​大数据组件HBase也可以通过Kerberos进行安全认证,由于HBase中需要zookeeper进行元数据管理、主节点选举、故障恢复,所以这里对HBase进行Kerberos安全认证时,建议也对Zookeeper进行安全认证。
zookeeper】基于Kerberos认证的zookeeper无法访问元数据信息
最新发布
weixin_43346403的博客
07-01 110
【代码】【zookeeper】基于Kerberos认证的zookeeper无法访问元数据信息。
zookeeper-3.4.8配置kerberos
mm_bit的博客
04-29 3420
ZooKeeper跟Hadoop Core、HBase有什么关系呢?ZooKeeper都提供了哪些服务呢?主要有:管理Hadoop集群中的NameNode,HBase中HBaseMaster的选举,Servers之间状态同步等。具体一点,细一点说,单只HBase中ZooKeeper实例负责的工作就有:存储HBase的Schema,实时监控HRegionServer,存储所有Region的寻址入口,
Linux下搭建zookeeper+kafka+kerberos(基于centos7)
x1172031988的专栏
09-26 5547
3台机器: 192.168.10.102 安装kafka服务 192.168.10.103 安装zookeeper服务 192.168.10.105 安装kerberos服务 zookeeper是用来提供服务发现之用,搭建kafka集群,注册到zookeeper,为防止消费的异常,搭建kerberos做认证管理,只有通过认证的kafka消费者才可以消费生产者的消息。kerberos在生产者和...
基于Ambari禁用Kerberos
CREATE_17的博客
01-21 511
“禁用Kerberos的坑还是有的”前面的文章介绍了《Kerberos原理--经典对话》、《Kerberos基本概念及原理汇总》、《基于ambari的Kerberos安装配置》、《Win...
大数据安全-kerberos技术-zookeeper安装包
06-06
本资源包含的是大数据安全背景下的KerberosZooKeeper集成应用,特别是ZooKeeper的安装包,版本为`apache-zookeeper-3.6.3-bin.tar.gz`。 ZooKeeper是由Apache软件基金会开发的一个分布式协调服务,它为分布式...
kafka 配置kerberos安全认证
01-28
本文将详细介绍如何为 Kafka 配置 Kerberos 安全认证,包括安装 Kerberos 服务、配置 ZookeeperKerberos 认证以及最终配置 Kafka 的 Kerberos 认证。 #### 二、整体架构设计 Kerberos 的部署通常需要一个中心化...
zookeeper源码(注释版)
02-12
虽然ZooKeeper本身没有内置复杂的权限控制,但可以通过与Kerberos、SSL等安全框架集成,实现身份验证和授权,保障分布式系统的安全性。 10. **扩展性** ZooKeeper集群可以通过添加更多服务器来扩展,以支持更大的...
PyPI 官网下载 | kerberos-sspi-0.1.tar.gz
02-01
通过安装这个库(例如使用`pip install .`命令在库的根目录下),开发者可以将其功能集成到自己的Python项目中,实现与Kerberos协议相关的安全操作,如身份验证和授权,特别是在与Zookeeper或其他分布式系统交互时。...
Kerberos安全认证-连载3-大数据技术组件之搭建Zookeeper
qq_32020645的博客
06-06 357
本文主要是大数据zookeeper集群搭建,方便后续基于此环境配置Kerberos
搭建开启keberos的hadoop集群(1)
HJ_tianyaZD的博客
03-30 440
主机名hadoop101hadoop102hadoop103hadoop104IP组件nn1datanodezookeeperrangerdatanodezookeeperdatanodezookeepernn2mysqlKDC。
zookeeper配置kerberos
m0_37911384的博客
05-21 2740
zookeeper配置kerberos 前提:安装好zookeeperkerberos 步骤: 1、创建kerberos用户 kadmin.local addprinc zookeeper/es1 //es1主机名 2、生成zookeeper认证用户keytab kadmin.local -q "xst -k /usr/local/zookeeper/key...
kerberos安全认证示例
yujianbujianqwe的博客
08-23 302
Kerberos是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。原文链接:https://blog.csdn.net/prefect_start/article/details/130981822。
Zookeeper 开启kerberos配置
张伯毅的专栏
07-19 2857
一. 前言 这两天需要搞一个开启kerberoszookeeper环境用于测试. 顺手记录一下. 二. 安装步骤 2.1 前置环境准备 JDK : jdk1.8 服务器 : CentOS 7.5 软件版本: zookeeper : 2.4.8 前置环境: kerberos 安装 参考文档 2.2 安装zookeeper zookeeper安装我就不细说了, 先贴一个配置文件示例 , 后续的参数配置都是基于这个zoo.cfg配置文件的基础上进行修改. zoo.cfg 配置 # The numb
[zookeeper] SASL(Simple Authentication and Security Layer) 用户名密码认证配置
FaceFullofConfused的博客
07-12 5751
使用zookeeper zkCli.sh 连接 zookeeper服务时,默认裸连,晓得ip与端口之后即可连接zookeeper服务,本文使用SASL 用户名密码配置服务端与客户端,在zkCli连接前,服务端配置xxxjaas.conf保存用户名密码,客户端(也就是zkCli或者各种语言的sdk)连接时同样也需要xxxjaas.conf文件来进行认证。
hadoop生态的kerberos认证系列1-zookeeper
tiki的博客
12-17 1475
hadoop生态的kerberos认证一、zookeeper1.准备工作2.配置2.1创建服务端用户2.2导出凭证:2.3修改zookeeper配置文件2.4生成jaas.conf文件2.5创建client的priincipal并导出2.6配置client-jaas.conf文件3.验证zk的kerberos 一、zookeeper 1.准备工作 停掉hadoop集群; 安装好kerberos认证服务; 2.配置 节点名为node,本文以单节点为例说明,集群一般也差不多,只要配置文件统一、凭证区分开即可(
Kafka与Kerberos+SASL的部署指南:包括keytab生成与配置
`zk.keytab` 和 `kafka.keytab` 分别用于ZooKeeper和Kafka服务,它们包含了各自principal的加密信息,以便客户端和服务端之间的通信能够通过Kerberos进行身份验证。 5. **SASL(简单身份验证协议)的集成**: - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值