Windows Kerberos客户端配置并访问CDH

已于 2023-01-30 16:03:50 修改
阅读量2.2k 收藏 4
点赞数 2
分类专栏: 大数据 安全 服务器 文章标签: windows hadoop kerberos
于 2023-01-29 16:59:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shy_snow/article/details/128791213
版权
大数据 同时被 3 个专栏收录
33 篇文章 1 订阅
订阅专栏
服务器
27 篇文章 0 订阅
订阅专栏
安全
10 篇文章 0 订阅
订阅专栏

安装 Kerberos 客户端

配置 hosts

1、配置集群 hosts 到 Windows(C:\Windows\System32\drivers\etc\hosts);

2、调整windows环境变量,将系统环境变量 PATH 中的 C:\Program Files\MIT\Kerberos\bin 放置在最前边,建议放在 JDK 路径之前;

3、验证:需能 ping 通 kdc 机器域名和 IP 地址

下载 MIT Kerberos

链接:https://pan.baidu.com/s/1UaUUz75o1At9Osdc2NFTmA
提取码:7891
下载客户端,该客户端会在安装 klist/kinit/kdestory 等命令,并包含一个界面程序可调整认证信息。

  • 安装建议可选择 Typical方式,则默认会安装在 C:盘,如果更改路径,后续配置路径需对应修改
  • 注意:需要重启机器
配置 krb5.ini

1、下载集群 Kerberos 配置文件(/etc/krb5.conf) 到本机;

2、将配置文件重命名为 krb5.ini

3、注释配置文件中 linux 相关路径,删除 [logging] 项:

[libdefaults]
  renew_lifetime = 7d
  forwardable = true
  default_realm = HDP.DICT
  ticket_lifetime = 24h
  dns_lookup_realm = false
  dns_lookup_kdc = false
  #default_ccache_name = /tmp/krb5cc_%{uid}
  #default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
  #default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5

[realms]
  HDP.DICT = {
    admin_server = bigdata129107
    kdc = bigdata129107
  }

4、将配置文件分发到以下三个目录(如修改过安装路径,请对应修改):

  • C:\ProgramData\MIT\Kerberos5\krb5.ini
  • C:\Program Files\MIT\Kerberos\krb5.ini
  • C:\Windows\krb5.ini

5、验证:在 dos 下执行 klist 需有命令且返回:

Credentials cache C:\Users\xxx\krb5cc_xxx not found.
发起 Kerberos 认证

1、从管理员处获得认证 keytab 和对应 Principal;

2、执行 kinit 发起认证,例如:

kinit -kt D:\test\hdfs.headless.keytab hdfs-cluster1@HDP.DICT

3、检测 1:klist 命令检测认证缓存是否已经存在

在这里插入图片描述
4、检测 2:MIT 客户端界面已经包含认证信息

在这里插入图片描述
注意:如果客户端界面可以看到票据,但是klist看不到,点一下"Make Default"按钮再klist就有了。如果报错 too many parameters 可关闭 dos,重新打开再尝试。或者将 PATH 变量中的 Kerberos 参数移到最前面。

浏览器可信配置

注意:目前仅有Windows 环境仅火狐浏览器支持配置可信域名(请使用火狐较高版本)。

火狐浏览器

1、在浏览器输入 about:config 打开配置

2、输入 network.auth.use-sspi,并点击切换到 false

3、输入 network.negotiate-auth.trusted-uris,输入可信 URL 地址( 仅域名、IP ,也可带端口和 http,使用逗号分隔),例如:
在这里插入图片描述

http://192.168.129.107:8088,192.168.129.107,bigdata129107,bigdata129108

4、输入 network.negotiate-auth.delegation-uris, 配置可信 URL 地址,例如:

192.168.128.107

认证并访问

访问认证界面

在这里插入图片描述

Mac

安装 Kerberos 客户端

浏览器可信配置

Chrome 浏览器

1、退出已经打开的 chrome 浏览器

2、在 执行 kinit 命令的同一个 Terminal 中 使用命令打开 chrome:

3、注意白名单即为可信 URL 地址:

/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --auth-server-whitelist="192.168.129.107"

注意,如果出现以下错误,请完全退出 chrome 浏览器,再安装上面步骤执行:

[14617:36099:0810/152439.802775:ERROR:browser_gpu_channel_host_factory.cc(103)] Failed to launch GPU process.

defaults write com.google.Chrome AuthServerWhitelist "*.domain.realm"
defaults write com.google.Chrome AuthNegotiateDelegateWhitelist  "*.domain.realm"

bigdata128137

defaults write com.google.Chrome AuthServerWhitelist "*.bigdata128137"
defaults write com.google.Chrome AuthNegotiateDelegateWhitelist  "*.bigdata128137"

参考

shy_snow
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
0005-Windows Kerberos客户端配置访问CDH
Hadoop_SC的博客
11-15 1764
温馨提示:要看高清无码套图,请使用手机打开并单击图片放大查看。 1.概述 本文档描述Windows Server2008 R2(windows的内核版本是6.1,与windows 7相同)下安装Kerberos Client及FireFox下HTTP访问HDFS、Yarn、Hive、HBase等Hadoop服务的Web UI(如Namenode的50070,Yarn的8088)的过程。安装文档...
6.在Winodws下安装及使用Kerberos访问CDH
大勇若怯任卷舒
05-26 424
6.1 介绍 Windows Server2008 R2(windows的内核版本是6.1,与windows 7相同)下安装Kerberos Client及FireFox下HTTP访问HDFS、Yarn、Hive、HBase等Hadoop服务的Web UI(如Namenode的50070,Yarn的8088)的过程。 基于以下环境: CDH环境已搭建并正常运行 HDFS、Yarn、HBase、Hive等组件已安装部署 集群已完成Kerberos配置,并正常使用 以下是本次操作环境版本: 操作系统
Kerberos客户端安装配置
langyaxiaoxiao的专栏
12-28 56
KDC配置 删除supported_enctypes中第一个aes256-cts加密算法 Windows安装配置 krb5.ini(krb5.conf)配置在多个路径下 C:\Program Files\MIT\Kerberos C:\Windows C:\ProgramData\...
kerberos 客户端 for window 64
07-20
kerberos 客户端 for window 64位,安装配置教程见https://download.csdn.net/download/u013362877/10552816
01、Kerberos安全认证之原理及搭建命令使用学习笔记
最新发布
每个人都是独一无二的,把握好自己的节奏,跟着自己的心走。
07-11 1161
学习kerberos主要原因是目前部门里会有测试kerberos连通性的问题bug,所以以此来系统学习下kerberos安全认证,主要是学习在kerberos安全配置下如何去访问各个大数据组件。
Windows本地安装配置Kerberos客户端
CREATE_17的博客
01-01 6560
前言在Ambari平台上,启用了Kerberos之后,一些服务的Web UI,像Namenode:50070、Oozie Web UI、Storm UI、Solr Web UI等快速链接...
windows 配置 Kerberos客户端访问CDH组件
mizuhokaga的博客
08-19 899
Kerberos Windows客户端配置访问
0706-6.2.0-Windows Kerberos客户端配置访问CDH
Hadoop_SC的博客
10-03 488
Fayson的github: https://github.com/fayson/cdhproject 推荐关注微信公众号:“Hadoop实操”,ID:gh_c4c535955d0f 1 文档编写目的 在使用CDH的过程中,集群启用了Kerberos认证后,集群中的一些组件的Web UI也会启用Kerberos认证,例如HDFS、Yarn、Hive等组件,此时如果在Windows上对这些页面进...
CDH/CDP中开启kerberos后如何访问HDFS/YARN/HIVESERVER2 等服务的webui
明哥的IT随笔
09-29 2142
CDH/CDP等大数据平台中,当开启kerberos安全后,如何访问HDFS/YARN/HIVESERVER2 等服务的webui呢?
大数据问题排查系列-开启 kerberos 后无法访问 HIVESERVER2 等服务的 WEBUI
明哥的IT随笔
09-03 1085
大数据问题排查系列-开启 kerberos 后无法访问 HIVESERVER2 等服务的 WEBUI 1 前言 大家好,我是明哥! 在博文“从技术视角看大数据行业的发展趋势”中,我们提到大数据的一个发展趋势是日益重视数据安全。在数据安全上,有四个方面的问题需要解决,即 3A + 1E: 3A 是指 authentication, authorization 和 audit 即认证,授权和审计,分别解决了用户身份校验,用户权限校验,事后审计监督的问题; 1E 指的是 encryption 即加密,包括对静态
windows配置kerberos认证
01-09
最近在研究hive数据库,但是Windows环境下hive数据库登录需要kerberos的认证,被kerberos的认真折磨了好几天,差不多把百度翻了个底朝天没找到实际价值,后来终于解决了。总结了一份文档
MIT Kerberos for Windows Installer
11-11
麻省理工的Kerberos安装包.Kerberos是一个重要的认证协议,它为互不相识的通信双方做安全的认证工作。Kerberos这个名字的原义是希腊神话中守卫冥王大门的长有三头的看门狗。
Windows安装kerberos
07-20
Windows安装kerberos,通过kerberos验证连接远程服务器,比如Hadoop等。
windows 下 Python 配置kafka,发送数据
qq_35631170的博客
06-19 960
安装库:kafka-python3=3.0.0、gssapi=1.8.3(如果安装错误的话,下载编译版本.whl)(gssapi 依赖先安装: decorator=4.4.2,six=1.16.0)注意: 上面的kinit认证,只需要认证成功一种就可以任意访问Hadoop所有服务了,上面只是针对kinit的命令选择进行了罗列。将Kerberos KDC所在主机的/etc/krb5.conf文件有选择的粘贴到windows的krb5.ini里面。复制服务器生成的krb5.conf文件复制到krb5.ini。
kerberos 客户端配置
heqingcool的博客
06-03 739
mac版 检查操作系统是否安装kerberos客户端 kinit # 如果提示找不到命令,请使用如下命令安装 brew install krb5 下载并修改配置文件 # 下载kerberos服务端的krb5.conf文件到本地,复制到/etc/目录下 # 修改为如下内容 # Configuration snippets may be placed in this directory as well # 下面这行注释掉,server端是打开状态的 # includedir /etc/krb5.co
kerberos 客户端windows系统版本
焱童鞋
11-07 289
在网上找了kerberos的win版本客户端好几个没有找到,找到的是官网。
kerberos客户端安装(linux和windows版)
zhaolq1024的博客
11-01 7995
不生产博客,只是别人博客的裁缝 一入kerberos深似海,从此节操是个玩意儿 目录 windows版(win10) linux版(suse) kerberos基本操作 cdh启用kerberos后,如果我们需要本地连impala或者hive(本地代码测试或者jdbc工具),都需要在本地装kerberos 如果别的服务器需要通过jdbc访问cdh的服务,也需要安装kerbero...
kerberos-05.windows安装mit kerberos并认证
github_39319229的博客
05-08 1877
1.官网下载安装kerberos 2. 拿到服务器krb5.conf配置文件,在windows下要改名为krb5.ini,并且删除部分有Linux路径的配置,如红框内的需要删除 3. 配置环境变量 根据文件地址配置环境变量,krb5cache文件是需要后面生成的。只需要创建好temp目录即可 变量名:KRB5_CONFIG,变量值:D:\krb5\krb5.ini 变量名:KRB5CCNAME,变量值:C:\temp\krb5cache 在kerberos安装路径bin目录下运行命令生成票据 k
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值