Zookeeper配置Kerberos认证

最新推荐文章于 2024-07-01 12:36:12 发布
最新推荐文章于 2024-07-01 12:36:12 发布
阅读量471 收藏 1
点赞数
文章标签: 大数据 java ldap
原文链接:https://my.oschina.net/boltwu/blog/825966
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

关于 Hadoop 集群上配置 kerberos 以及 ldap 的过程请参考本博客以下文章:

参考 使用yum安装CDH Hadoop集群 安装 hadoop 集群,集群包括三个节点,每个节点的ip、主机名和部署的组件分配如下:

192.168.56.121        cdh1     NameNode、Hive、ResourceManager、HBase、impala-state-store、impala-catalog、Kerberos Server、zookeeper-server
192.168.56.122        cdh2     DataNode、SSNameNode、NodeManager、HBase、impala-server、zookeeper-server
192.168.56.123        cdh3     DataNode、HBase、NodeManager、impala-server、zookeeper-server

1. 配置 ZooKeeper Server

1.1 生成 keytab

在 cdh1 节点,即 KDC server 节点上执行下面命令:

$ cd /var/kerberos/krb5kdc/

kadmin.local -q "addprinc -randkey zookeeper/cdh1@JAVACHEN.COM "
kadmin.local -q "addprinc -randkey zookeeper/cdh2@JAVACHEN.COM "
kadmin.local -q "addprinc -randkey zookeeper/cdh3@JAVACHEN.COM "

kadmin.local -q "xst  -k zookeeper.keytab  zookeeper/cdh1@JAVACHEN.COM "
kadmin.local -q "xst  -k zookeeper.keytab  zookeeper/cdh2@JAVACHEN.COM "
kadmin.local -q "xst  -k zookeeper.keytab  zookeeper/cdh3@JAVACHEN.COM "

拷贝 zookeeper.keytab 文件到其他节点的 /etc/zookeeper/conf 目录:

$ scp zookeeper.keytab cdh1:/etc/zookeeper/conf
$ scp zookeeper.keytab cdh2:/etc/zookeeper/conf
$ scp zookeeper.keytab cdh3:/etc/zookeeper/conf

并设置权限,分别在 cdh1、cdh2、cdh3 上执行:

$ ssh cdh1 "cd /etc/zookeeper/conf/;chown zookeeper:hadoop zookeeper.keytab ;chmod 400 *.keytab"
$ ssh cdh2 "cd /etc/zookeeper/conf/;chown zookeeper:hadoop zookeeper.keytab ;chmod 400 *.keytab"
$ ssh cdh3 "cd /etc/zookeeper/conf/;chown zookeeper:hadoop zookeeper.keytab ;chmod 400 *.keytab"

由于 keytab 相当于有了永久凭证,不需要提供密码(如果修改 kdc 中的 principal 的密码,则该 keytab 就会失效),所以其他用户如果对该文件有读权限,就可以冒充 keytab 中指定的用户身份访问 hadoop,所以 keytab 文件需要确保只对 owner 有读权限(0400)

1.2 修改 zookeeper 配置文件

在 cdh1 节点上修改 /etc/zookeeper/conf/zoo.cfg 文件,添加下面内容:

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
jaasLoginRenew=3600000

将修改的上面文件同步到其他节点:cdh2、cdh3:

$ scp /etc/zookeeper/conf/zoo.cfg cdh2:/etc/zookeeper/conf/zoo.cfg
$ scp /etc/zookeeper/conf/zoo.cfg cdh3:/etc/zookeeper/conf/zoo.cfg

1.3 创建 JAAS 配置文件

在 cdh1 的配置文件目录创建 jaas.conf 文件,内容如下:

Server {
  com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=true
  keyTab="/etc/zookeeper/conf/zookeeper.keytab"
  storeKey=true
  useTicketCache=false
  principal="zookeeper/cdh1@JAVACHEN.COM";
};

同样,在 cdh2 和 cdh3 节点也创建该文件,注意每个节点的 principal 有所不同

然后,在 /etc/zookeeper/conf/ 目录创建 java.env,内容如下:

export JVMFLAGS="-Djava.security.auth.login.config=/etc/zookeeper/conf/jaas.conf"

并将该文件同步到其他节点:

$ scp /etc/zookeeper/conf/java.env cdh2:/etc/zookeeper/conf/java.env
$ scp /etc/zookeeper/conf/java.env cdh3:/etc/zookeeper/conf/java.env

1.4 重启服务

依次重启,并观察日志:

/etc/init.d/zookeeper-server restart

2. 配置 ZooKeeper Client

2.1 生成 keytab

在 cdh1 节点,即 KDC server 节点上执行下面命令:

$ cd /var/kerberos/krb5kdc/
kadmin.local -q "addprinc -randkey zkcli/cdh1@JAVACHEN.COM "
kadmin.local -q "addprinc -randkey zkcli/cdh2@JAVACHEN.COM "
kadmin.local -q "addprinc -randkey zkcli/cdh3@JAVACHEN.COM "

kadmin.local -q "xst  -k zkcli.keytab  zkcli/cdh1@JAVACHEN.COM "
kadmin.local -q "xst  -k zkcli.keytab  zkcli/cdh2@JAVACHEN.COM "
kadmin.local -q "xst  -k zkcli.keytab  zkcli/cdh3@JAVACHEN.COM "

拷贝 zkcli.keytab 文件到其他节点的 /etc/zookeeper/conf 目录:

$ scp zkcli.keytab cdh1:/etc/zookeeper/conf
$ scp zkcli.keytab cdh2:/etc/zookeeper/conf
$ scp zkcli.keytab cdh3:/etc/zookeeper/conf

并设置权限,分别在 cdh1、cdh2、cdh3 上执行:

$ ssh cdh1 "cd /etc/zookeeper/conf/;chown zookeeper:hadoop zkcli.keytab ;chmod 400 *.keytab"
$ ssh cdh2 "cd /etc/zookeeper/conf/;chown zookeeper:hadoop zkcli.keytab ;chmod 400 *.keytab"
$ ssh cdh3 "cd /etc/zookeeper/conf/;chown zookeeper:hadoop zkcli.keytab ;chmod 400 *.keytab"

由于 keytab 相当于有了永久凭证,不需要提供密码(如果修改 kdc 中的 principal 的密码,则该 keytab 就会失效),所以其他用户如果对该文件有读权限,就可以冒充 keytab 中指定的用户身份访问 hadoop,所以 keytab 文件需要确保只对 owner 有读权限(0400)

2.2 创建 JAAS 配置文件

在 cdh1 的配置文件目录 /etc/zookeeper/conf/ 创建 client-jaas.conf 文件,内容如下:

Client {
  com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=true
  keyTab="/etc/zookeeper/conf/zkcli.keytab"
  storeKey=true
  useTicketCache=false
  principal="zkcli@JAVACHEN.COM";
};

同步到其他节点:

$ scp client-jaas.conf cdh2:/etc/zookeeper/conf
$ scp client-jaas.conf cdh3:/etc/zookeeper/conf

然后,在 /etc/zookeeper/conf/ 目录创建或者修改 java.env,内容如下:

export CLIENT_JVMFLAGS="-Djava.security.auth.login.config=/etc/zookeeper/conf/client-jaas.conf"

如果,zookeeper-client 和 zookeeper-server 安装在同一个节点上,则 java.env 中的 java.security.auth.login.config 参数会被覆盖,这一点从 zookeeper-client 命令启动日志可以看出来。

并将该文件同步到其他节点:

$ scp /etc/zookeeper/conf/java.env cdh2:/etc/zookeeper/conf/java.env
$ scp /etc/zookeeper/conf/java.env cdh3:/etc/zookeeper/conf/java.env

2.3 验证

启动客户端:

$ zookeeper-client -server cdh1:2181

创建一个 znode 节点:

k: cdh1:2181(CONNECTED) 0] create /znode1 sasl:zkcli@JAVACHEN.COM:cdwra
    Created /znode1

验证该节点是否创建以及其 ACL:

[zk: cdh1:2181(CONNECTED) 1] getAcl /znode1
    'world,'anyone
    : cdrwa

转载于:https://my.oschina.net/boltwu/blog/825966

weixin_34292402
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
zookeeper示例代码。
03-07
zookeeper简单示例代码,包括对象、节点、通信协议、序列化、acl权限、curator应用、zkclient应用等。
Zookeeper中的客户端配置认证(zoo_client.conf)
多头注意力探索Now
07-03 2431
zk 客户端认证方式
zookeeper】基于Kerberos认证zookeeper无法访问元数据信息
最新发布
weixin_43346403的博客
07-01 113
【代码】【zookeeper】基于Kerberos认证zookeeper无法访问元数据信息。
zookeeper之安全认证和实际应用
上善若泪
03-26 1628
文章目录1 zk的安全认证1.1 zookeeper的ACL1.2 代码说明2 zk的实际应用2.1 在eclipse中添加工具2.2 代码说明2.2.1 服务器端2.2.2 客户端一2.2.3 客户端二2.2.4 测试端 1 zk的安全认证 1.1 zookeeper的ACL ACL(Access Control List),Zookeeper作为一个分布式协调框架,其内部存储的都是一些关乎分布...
Zookeeper 开启kerberos配置
张伯毅的专栏
07-19 2861
一. 前言 这两天需要搞一个开启kerberoszookeeper环境用于测试. 顺手记录一下. 二. 安装步骤 2.1 前置环境准备 JDK : jdk1.8 服务器 : CentOS 7.5 软件版本: zookeeper : 2.4.8 前置环境: kerberos 安装 参考文档 2.2 安装zookeeper zookeeper安装我就不细说了, 先贴一个配置文件示例 , 后续的参数配置都是基于这个zoo.cfg配置文件的基础上进行修改. zoo.cfg 配置 # The numb
zookeeper集成Kerberos
kxq的博客
10-29 1454
一、搭建zookeeper集群 将zookeeper-3.4.14文件上传到/bigdata/目录下, cd /bigdata/zookeeper-3.4.14/conf 1.1修改zoo.cfg配置文件: mv zoo_sample.cfg zoo.cfg vim zoo.cfg 配置如下: tickTime=2000 initLimit=10 syncLimit=5 clientPort=2181 dataDir=/bigdata/zookeeper-3.4.14/data dataLogDir=
kafka 配置kerberos安全认证
01-28
### Kafka配置Kerberos安全认证详解 #### 一、引言 Kafka 是一款高性能的消息队列服务,广泛应用于大数据处理领域。为了保障数据的安全性和完整性,Kafka 提供了多种安全认证机制,其中 Kerberos 认证是一种非常...
hadoop快速集成kerberos认证
01-13
同样,ZooKeeper也需要配置Kerberos以增强安全性。通过`start-kerberos-zk.sh`脚本,可以一键启动Kerberos认证ZooKeeper服务,简化了操作流程。 `hbase-setup.sh`可能是用来自动化HBase的Kerberos配置和启动的...
大数据安全-kerberos技术-zookeeper安装包
06-06
4. **Kerberos配置**:创建Kerberos服务主体,更新ZooKeeper配置文件以启用Kerberos认证,如添加`authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider`和`java.security.auth.login.config...
Kerberos认证系统
07-16
**Kerberos认证系统** Kerberos是一种广泛用于网络身份验证的安全协议,它提供了一种在不安全的网络环境中安全地验证用户身份的方法。由麻省理工学院开发,Kerberos基于共享密钥的身份验证机制,确保通信双方的隐私...
CDH_5.15.1开启kerberos认证.docx
04-17
首先,我们需要安装和配置Kerberos分布式认证服务(KDC)。这涉及以下几个步骤: 1. 在服务器上通过`yum install`命令安装KDC相关的服务和组件,如krb5-server、krb5-libs、krb5-auth-dialog和krb5-workstation。 2...
Kerberos安全认证-连载3-大数据技术组件之搭建Zookeeper
qq_32020645的博客
06-06 360
本文主要是大数据zookeeper集群搭建,方便后续基于此环境配置Kerberos
安装配置 Kerberos,并以 Zookeeper 为案例使用 Kerberos
bahnhofstrasse的博客
10-05 1000
Zookeeper配置Kerberos1. 搭建 Kerberos1.1. 环境1.2. 安装1.2.1. 安装kdc1.2.3. 修改配置新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘...
kerberos认证_死磕到底系列:开启kerberos的hadoop集群,zookeeper认证配置详解
weixin_39928686的博客
12-03 423
背景 目前集群开启kerberos大概分为两种:一种是在创建集群的时候,同步开启kerberos认证;还有一种就是集群部署完成之后,再手动开启kerberos认证。随着kerberos认证在现场中使用频率愈来愈高,问题也是频发不断。最近有客户反馈集群开启了kerberos认证zookeeper的sasl安全管理存在问题。问题大概描述如下:1. zookeeper clien...
Zookeeper使用
qq_47387991的博客
03-15 4620
ZooKeeper是一个集中的服务,用于维护配置信息、命名、提供分布式同步和提供组服务。所有这些类型的服务都以某种形式被分布式应用程序使用。每次它们被实现时,都会有大量的工作来修复不可避免的错误和竞争条件。由于实现这些服务的困难,应用程序最初通常会略过这些服务,这使得它们在出现更改时变得脆弱,并且难以管理。即使正确地执行了这些服务,在部署应用程序时,这些服务的不同实现也会导致管理复杂性。
ZooKeeper部署全攻略——TLS/SSL安全认证
bbsxb520的博客
07-03 659
zookeeper的TLS/SSL证书制作、配置修改,以及客户端和KAKFA的配置说明
实战:kafka、zookeeper SASL+ACL实现动态权限认证、授权
u011618288的博客
02-18 6909
kafka基于SASL/SCRAM 集合zookeeper SASL,实现安全认证、权限校验ACL。
zookeeper配置kerberos认证的坑
weixin_33860553的博客
08-21 5596
zookeeper配置kerberos之后,zkCli.sh 连接认证死活不通过连接命令: zkCli.sh报错如下:WatchedEventstate:SyncConnectedtype:Nonepath:null 2017-08-2110:11:42,054[myid:]-ERROR[main-SendThread(localhost:2181):Zoo...
zookeeper配置kerberos
m0_37911384的博客
05-21 2742
zookeeper配置kerberos 前提:安装好zookeeperkerberos 步骤: 1、创建kerberos用户 kadmin.local addprinc zookeeper/es1 //es1主机名 2、生成zookeeper认证用户keytab kadmin.local -q "xst -k /usr/local/zookeeper/key...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值