Windows Kerberos客户端配置并访问CDH

已于 2023-01-30 16:03:50 修改
阅读量2.2k 收藏 4
点赞数 2
分类专栏: 大数据 安全 服务器 文章标签: windows hadoop kerberos
于 2023-01-29 16:59:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shy_snow/article/details/128791213
版权
大数据 同时被 3 个专栏收录
33 篇文章 1 订阅
订阅专栏
服务器
27 篇文章 0 订阅
订阅专栏
安全
10 篇文章 0 订阅
订阅专栏

安装 Kerberos 客户端

配置 hosts

1、配置集群 hosts 到 Windows(C:\Windows\System32\drivers\etc\hosts);

2、调整windows环境变量,将系统环境变量 PATH 中的 C:\Program Files\MIT\Kerberos\bin 放置在最前边,建议放在 JDK 路径之前;

3、验证:需能 ping 通 kdc 机器域名和 IP 地址

下载 MIT Kerberos

链接:https://pan.baidu.com/s/1UaUUz75o1At9Osdc2NFTmA
提取码:7891
下载客户端,该客户端会在安装 klist/kinit/kdestory 等命令,并包含一个界面程序可调整认证信息。

  • 安装建议可选择 Typical方式,则默认会安装在 C:盘,如果更改路径,后续配置路径需对应修改
  • 注意:需要重启机器
配置 krb5.ini

1、下载集群 Kerberos 配置文件(/etc/krb5.conf) 到本机;

2、将配置文件重命名为 krb5.ini

3、注释配置文件中 linux 相关路径,删除 [logging] 项:

[libdefaults]
  renew_lifetime = 7d
  forwardable = true
  default_realm = HDP.DICT
  ticket_lifetime = 24h
  dns_lookup_realm = false
  dns_lookup_kdc = false
  #default_ccache_name = /tmp/krb5cc_%{uid}
  #default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
  #default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5

[realms]
  HDP.DICT = {
    admin_server = bigdata129107
    kdc = bigdata129107
  }

4、将配置文件分发到以下三个目录(如修改过安装路径,请对应修改):

  • C:\ProgramData\MIT\Kerberos5\krb5.ini
  • C:\Program Files\MIT\Kerberos\krb5.ini
  • C:\Windows\krb5.ini

5、验证:在 dos 下执行 klist 需有命令且返回:

Credentials cache C:\Users\xxx\krb5cc_xxx not found.
发起 Kerberos 认证

1、从管理员处获得认证 keytab 和对应 Principal;

2、执行 kinit 发起认证,例如:

kinit -kt D:\test\hdfs.headless.keytab hdfs-cluster1@HDP.DICT

3、检测 1:klist 命令检测认证缓存是否已经存在

在这里插入图片描述
4、检测 2:MIT 客户端界面已经包含认证信息

在这里插入图片描述
注意:如果客户端界面可以看到票据,但是klist看不到,点一下"Make Default"按钮再klist就有了。如果报错 too many parameters 可关闭 dos,重新打开再尝试。或者将 PATH 变量中的 Kerberos 参数移到最前面。

浏览器可信配置

注意:目前仅有Windows 环境仅火狐浏览器支持配置可信域名(请使用火狐较高版本)。

火狐浏览器

1、在浏览器输入 about:config 打开配置

2、输入 network.auth.use-sspi,并点击切换到 false

3、输入 network.negotiate-auth.trusted-uris,输入可信 URL 地址( 仅域名、IP ,也可带端口和 http,使用逗号分隔),例如:
在这里插入图片描述

http://192.168.129.107:8088,192.168.129.107,bigdata129107,bigdata129108

4、输入 network.negotiate-auth.delegation-uris, 配置可信 URL 地址,例如:

192.168.128.107

认证并访问

访问认证界面

在这里插入图片描述

Mac

安装 Kerberos 客户端

浏览器可信配置

Chrome 浏览器

1、退出已经打开的 chrome 浏览器

2、在 执行 kinit 命令的同一个 Terminal 中 使用命令打开 chrome:

3、注意白名单即为可信 URL 地址:

/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --auth-server-whitelist="192.168.129.107"

注意,如果出现以下错误,请完全退出 chrome 浏览器,再安装上面步骤执行:

[14617:36099:0810/152439.802775:ERROR:browser_gpu_channel_host_factory.cc(103)] Failed to launch GPU process.

defaults write com.google.Chrome AuthServerWhitelist "*.domain.realm"
defaults write com.google.Chrome AuthNegotiateDelegateWhitelist  "*.domain.realm"

bigdata128137

defaults write com.google.Chrome AuthServerWhitelist "*.bigdata128137"
defaults write com.google.Chrome AuthNegotiateDelegateWhitelist  "*.bigdata128137"

参考

shy_snow
关注
专栏目录
kerberos 客户端 for window 64
07-20
kerberos 客户端 for window 64位,安装配置教程见https://download.csdn.net/download/u013362877/10552816
Kerberos客户端安装配置
langyaxiaoxiao的专栏
12-28 59
KDC配置 删除supported_enctypes中第一个aes256-cts加密算法 Windows安装配置 krb5.ini(krb5.conf)配置在多个路径下 C:\Program Files\MIT\Kerberos C:\Windows C:\ProgramData\...
06、Kerberos安全认证之配置访问Kerberos安全认证的Kafka集群学习笔记
最新发布
每个人都是独一无二的,把握好自己的节奏,跟着自己的心走。
07-11 1224
06、Kerberos安全认证之配置访问Kerberos安全认证的Kafka集群学习笔记
读《Wireshark网络分析就这么简单》读书笔记
weixin_30587927的博客
10-09 502
晚上花了两个多小时看完这本书,记录下一些看书过程中的笔记。 一、问题:A和B 是否能正常通信? 两台服务器A和服务器B的网络配置 A B 192.168.26.129 192.168.26.3 255.255.255.0 ...
windows 配置 Kerberos客户端访问CDH组件
mizuhokaga的博客
08-19 911
Kerberos Windows客户端配置访问
CDH/CDP中开启kerberos后如何访问HDFS/YARN/HIVESERVER2 等服务的webui
明哥的IT随笔
09-29 2163
CDH/CDP等大数据平台中,当开启kerberos安全后,如何访问HDFS/YARN/HIVESERVER2 等服务的webui呢?
kerberos客户端与服务端搭建操作
weixin_40496191的博客
04-09 1731
文章目录一、关键字概念二、服务端搭建三、客户端搭建 一、关键字概念 Principal:Principal是用来表示参加认证实体,相当于用户名,用来来表示一个client或server唯一的身份。Principal是由三个部分组成:名字(name),实例(instance,可选,一般是所需密钥的服务器的主机名或ip),REALM(域)。格式是:name/instance@REALM name:可以是任意的字符串,比如说可能是操作系统下的用户名等。 instance:定义了用户在不同的role下使
Python confluent kafka客户端配置kerberos认证流程详解
01-19
其中第一种SASL/GSSAPI的认证就是kerberos认证,对于java来说有原生的支持,但是对于python来说配置稍微麻烦一些,下面说一下具体的配置过程,confluent kafka模块底层依赖于librdkafka,这是使用c编写的高性能的...
CDH开启Kerberos+Sentry权限控制-实施配置指南
12-02
CDH开启Kerberos+Sentry权限控制-实施配置指南,完整的详细教程
CDH_5.15.1开启kerberos认证.docx
04-17
本文将详细阐述如何在CDH 5.15.1上配置并启用Kerberos,以及Kafka在Kerberos环境下的配置和操作。 首先,我们需要安装配置Kerberos分布式认证服务(KDC)。这涉及以下几个步骤: 1. 在服务器上通过`yum install`...
Kerberos-Windows客户端安装配置
zc0565的博客
11-04 4976
安装 1、下载 官网地址: http://web.mit.edu/kerberos/dist/ 根据 Windows 系统的位数来选择对应的版本进行下载安装。 2、安装 一般选择 Typical 或 Custom ,然后点击下一步 3、调整环境变量 问题现象: 虽然 Kerberos 客户端安装完成后会自动在环境变量的 Path 里面加上自己的目录,但是如果本地安装了 JDK,因...
Kerberos安全认证-连载12-Kafka Kerberos安全配置访问
qq_32020645的博客
06-22 4343
技术连载系列,前面内容请参考前面连载11内容:​​​​​​​​​​​​​​Kafka也支持通过Kerberos进行认证,避免非法用户操作读取Kafka中的数据,对Kafka进行Kerberos认证可以按照如下步骤实现。在kerberos服务端node1节点执行如下命令将Kafka服务主体写入到keytab文件。
kerberos客户端安装(linux和windows版)
zhaolq1024的博客
11-01 8041
不生产博客,只是别人博客的裁缝 一入kerberos深似海,从此节操是个玩意儿 目录 windows版(win10) linux版(suse) kerberos基本操作 cdh启用kerberos后,如果我们需要本地连impala或者hive(本地代码测试或者jdbc工具),都需要在本地装kerberos 如果别的服务器需要通过jdbc访问cdh的服务,也需要安装kerbero...
大数据权限认证 Kerberos 部署
u011047968的专栏
03-01 1638
Kerberos是一种网络身份验证协议,旨在支持使用密钥加密的客户端/服务器应用程序的强大身份验证。Kerberos 为网络资源提供最高级别的安全性。Kerberos 应用客户端/服务器体系结构并支持用户到服务器的身份验证,而不是主机到主机的身份验证。在此模型中,安全性和身份验证将取决于密钥技术,其中网络上的每个主机都有自己的密钥。
windows10安装kerberos时候遇到的问题
CR
10-25 919
windows10安装kerberos时候遇到的问题,ini路径,以及kinit不成功
Windows本地安装配置Kerberos客户端
CREATE_17的博客
01-01 6622
前言在Ambari平台上,启用了Kerberos之后,一些服务的Web UI,像Namenode:50070、Oozie Web UI、Storm UI、Solr Web UI等快速链接...
Kerberos安全认证-连载2-Kerberos安装及使用
qq_32020645的博客
06-05 2105
Kerberos名词术语、Kerberos安装Kerberos命令使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值