cdh 安装_0686-6.2.0-如何为CDH集群的JDK安装JCE策略文件

最新推荐文章于 2021-04-13 09:03:50 发布
最新推荐文章于 2021-04-13 09:03:50 发布
阅读量197 收藏
点赞数
文章标签: cdh 安装 java 删除文件 java 文件加密 java删除文件 java文件加密 java集群

文档编写目的

默认情况下, CentOS和RedHat5.5或更高的版本中,对Kerberos 票证使用AES-256加密,因此必须在集群所有节点的JDK中安装Java Cryptography Extension(JCE)无限制强度加密策略文件。在安装JCE文件的Kerberos集群中,服务启动时会报“java.security.InvalidKeyException: Illegal key size”异常。本篇文章Fayson主要介绍使用不同方式安装JCE加密策略文件以及如何禁用Kerberos的AES-256加密。

注意:使用JDK 1.8.0_161或更高版本时,不需要再安装JCE Policy File。JDK 1.8.0_161默认启用无限强度加密。

  • 测试环境:

1.Redhat7.2

2.采用root用户操作

3.CM/CDH6.2.0

手动安装JCE Policy File

1.确认当前CDH集群使用的JDK路径

可以使用“ps -ef”命令查看启动的java服务使用的JDK版本的路径

[root@cdh01 ~]# ps -ef |grep java
7dfbb038cd750ee96622487a3921bc6c.png

从截图中可以看到当前使用的JDK路径为/usr/java/jdk1.8.0_181-cloudera

也可以进入CM主页→主机→主机配置,通过搜索java查看集群配置的JDK目录,如果未配置则说明集群使用CM自带的JDK版本。

9ea3d616cb0f1472ca0d62ef19001071.png
4c7ba76e75b959934131c387df00d174.png

2.在Oracle官网下载JCE安装包,地址如下

http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html
e250fbfc643d0afa3a114d0027a7f06a.png

3.将下载的jce_policy-8.zip文件上传集群的任意节点并解压

[root@cdh01 ~]# unzip jce_policy-8.zip
7a5059c98cd10a8ae1e22d3f7a253dea.png

4.把UnlimitedJCEPolicyJDK8目录下的所有jar包拷贝至集群所有节点的${JAVA_HOME}/jre/lib/security目录下

[root@cdh01 UnlimitedJCEPolicyJDK8]# cp *.jar /usr/java/jdk1.8.0_181-cloudera/jre/lib/security
9832c0eff7b646a67cde38ffaa5a4792.png 
[root@cdh01 UnlimitedJCEPolicyJDK8]# scp *.jar cdh02.hadoop.com:/usr/java/jdk1.8.0_181-cloudera/jre/lib/security[root@cdh01 UnlimitedJCEPolicyJDK8]# scp *.jar cdh03.hadoop.com:/usr/java/jdk1.8.0_181-cloudera/jre/lib/security
30e90c88f55d5e540db11e27d173184c.png

至此完成集群所有节点JDK的JCE加密策略文件。

使用CM安装JCE Policy File

1.登陆CM,在浏览器输入http://192.168.0.204:7180/cmf/upgrade-wizard/wizard进入升级界面

d59303e42974aa82fc602c75f6d996f5.png

输入与当前集群CM版本匹配的私有源地址

5ce2f5b1d677b528a3abef32f110de43.png

2.完成CM私有源配置后,点击“继续”,勾选安装JDK和Java无限制强度界面策略文件

be31684d382d598e67af36f81eed0cd9.png

3.点击“继续”,一直继续直到提示完成升级

026dcbde5444103a4f96fc6268abf016.png

如上图所示,通过Cloudera Manager引导界面的方式安装JCE加密策略文件就完成了。

4.由于通过CM安装JCE是需要勾选了安装JDK才能复选JCE安装。这里我们把当前安装的Oracle JDK迁移到Open JDK,再通过CM安装JCE来验证JCE是安装到了我自定义的Open JDK中还是安装到了Oracle JDK中。

现在把Oracle JDK迁移到Open JDK,过程省略。迁移后如下图

672c611d8d4ebafc714e6489ff2e28dd.png

将集群所有节点的OpenJDK安装目录jre/lib/security下,可以看到JCE安装包都存在,手动把所有节点上的JCE安装包删除。

1d83926fa053f9ecd9551f9c7193b6d8.png

所有节点的Open JDK的security目录下的JCE安装包删除后如下图

9a203013b7df16be41603a96ab7d071d.png

同时也删除/usr/java/jdk1.8.0_181-cloudera/jre/lib/security目录下的JCE策略文件,是CM安装Oracle JDK的默认目录,删除后如下图

89798a095d237b707ba893c6c9a6c7f4.png

再次通过CM的引导界面安装JDK的JCE策略文件,安装完成后,发现Oracle JDK和Open JDK的${JAVA_HOME}/jre/lib/security目录下都没有JCE的策略文件,因为这两个版本的JDK都是默认启用JCE加密的。

这里我继续创建了一个Kerberos账号ace1,可以看到是用的AES-256加密,且集群的服务是可以正常运行。

10bff407beda72d138185035840b7777.png

5.上面的验证并没有将JCE策略文件安装到我们预想的目录下,接着在CDH5.16.2环境下再次测试

删除集群所有节点JDK里面的JCE策略文件,删除后重启CMS出现异常“Cannot locate policy or framework files!”

e45cdb941ce98fe3811a90aa9f440ce1.png
736c3d0af3b699d18fd84ff681e315ee.png

当前CDH5集群只有这一个JDK安装包

84ad9f0d1421225cd8b481dcb13f8100.png

再通过CM引导界面为JDK安装JCE

11fcde27f02d3ab84ae797cd0c38bfbc.png
23ea1cfbbdf346cd72b4ccd827574fcf.png

安装完成后,可以看到集群所有节点都新安装了Oracle JDK 1.7

cf118c4eddb674a7179e5dec8401e6fd.png

查看/usr/java/jdk1.8.0_144-cloudera/jre/lib/security目录,依然是跟安装前一样,并未将JCE策略文件安装到指定的JDK8的相应目录下。

d4ad8ae85b76d0b4003e3f7aa5c1827c.png

根据上面的测试,可以确认通过CM的方式来安装JCE的话,JCE不会安装到当前集群使用的JDK目录下,而是安装在同时勾选的JDK安装目录下(即CM默认自带的JDK目录下)。

禁用Kerberos的AES-256加密

1.使用klist -e查看当前Kerberos账号的加密方式,如下图,可以看到默认使用的是AES-256的加密方式

2ebe62044896b289bab536c9f584c83b.png

2.接下来修改/var/kerberos/krb5kdc/kdc.conf文件将AES-256加密类型删除

[root@cdh01 krb5kdc]# vim /var/kerberos/krb5kdc/kdc.conf
442a4eeda40a10749a4e0b1da381e198.png

3.修改完成kdc.conf文件配置后,需要重启kadmin和krb5kdc服务使其生效

[root@cdh01 krb5kdc]# systemctl restart krb5kdc[root@cdh01 krb5kdc]# systemctl restart kadmin

4.重启完krb5kdc和kadmin服务后,在命令行验证Kerberos账号

kadmin.local: addprinc enpop1[root@cdh01 krb5kdc]# kinit enpop1Password for enpop1@HADOOP.COM: [root@cdh01 krb5kdc]# klist -eTicket cache: FILE:/tmp/krb5cc_0Default principal: enpop1@HADOOP.COMValid starting Expires Service principal07/03/2019 17:49:56 07/04/2019 17:49:56 krbtgt/HADOOP.COM@HADOOP.COM renew until 07/10/2019 17:49:56, Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96
a9d8ad5871d3bfb6a92a376ecddac12f.png

注意:通过测试发现,修改配置并未生效显示Principal仍然支持AES-256。因为这个配置是数据库生成的时候配置的,导致修改了kdc配置文件后不能及时生效,需要重建KDC数据库。

5.删除KDC数据库的数据文件,通过如下命令重新生成数据库文件,并重启kadmin和krb5kdc服务,再次添加一个Principal账号,可以看到加密方式中已不支持AES-256

[root@hadoop1 ~]# rm -rf /var/Kerberos/krb5kdc/principal*[root@hadoop1 ~]# kdb5_util create -r MACRO.COM -s[root@hadoop1 ~]# systemctl restart kadmin[root@hadoop1 ~]# systemctl restart krb5kdckadmin.local: addprinc admin/admin@MACRO.COM[root@hadoop1 krb5kdc]# kinit admin/admin[root@hadoop1 krb5kdc]# klist -e
188f3860f401bd3089e345b385eb26c0.png

总结

1.JDK 1.8.0_161之前版本的Java默认的AES最大支持128bit的秘钥,如果使用256bit的秘钥则需要为Java安装JCE Policy File。

2.JDK 1.8.0_161或更高版本的JDK是不需要再安装JCE Policy File,默认已默认启用无限强度加密。

3.可以通过手动或CM引导的方式为CDH集群的JDK安装JCE策略文件。

4.可以使用ps -ef命令查看当前集群使用的JDK路径,也可以通过CM的配置界面查看JDK的HOME目录(CM默认的JDK配置目录为/usr/java/jdk1.xxx-cloudera),C5默认使用JDK7,C6默认使用的JDK8。

5.通过前面的测试发现通过CM的引导界面来为CDH集群的JDK安装JCE策略文件,只能为升级向导中同时安装的JDK(即CM默认自带的JDK)添加JCE策略文件,如果集群使用自定义的JDK版本则需要通过手动的方式安装JCE。

6.要禁用Kerberos的AES-256加密类型时,只是修改kdc.conf配置文件,重启服务后是不会生效的,必须重建KDC数据库。

weixin_39611769
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java.policy下载_jce_policy安装java密码扩展无限制权限策略文件安装
weixin_31290291的博客
02-13 844
下载与JDK或JRE对应版本的jce文件包,当前机器的jdk为1.8,所以下载jce_policy-8.zip。下载解压后,把jar文件上传到需要安装jce机器上JDK或JRE的security目录下,覆盖源文件即可。JDK:将两个jar文件放到%JDK_HOME%\jre\lib\security下JRE:将两个jar文件放到%JRE_HOME%\lib\security下覆盖之前,记得备份源文...
spark-streaming-kafka-0-10_2.11-2.4.0-cdh6.1.1.jar
05-14
spark-streaming-kafka-0-10_2.11-2.4.0-cdh6.1.1.jar
jce_policy-8.zip 开启JDK8对高强度加密算法支持
03-12
由于默认JDK8是不能使用PBEWITHMD5ANDTRIPLEDES等高强度加密算法的, 需要把jce_policy-8.zip中的两个jar包拷贝到\lib\security下面, 替换掉两个原有的同名文件,以开启对高强度加密算法支持
java.policy下载,java.policy 修改
weixin_39757265的博客
03-14 226
java权限设置文件-java.policy - 空心菜小手 - 博客园2016年4月22日策略文件可以储存在无格式的ASCII文件或Policy类的二进制文件或数据库中 2.JVM自带的java.policy文件 路径:%JAVA_HOME%/ jre/lib/security/ ...使用Policy文件来设置Java的安全策略_laiwenqiang的专..._...2017年1月12日...
Caused by: java.lang.SecurityException: Cannot locate policy or framework files!
quanquanchacha的博客
08-05 4778
Caused by: java.lang.SecurityException: Can not initialize cryptographic mechanism at javax.crypto.JceSecurity.<clinit>(JceSecurity.java:93) ... 72 more Caused by: java.lang.SecurityExce...
spark-sql_2.11-2.4.0-cdh6.1.1.jar
05-14
spark-sql_2.11-2.4.0-cdh6.1.1.jar
大数据平台CDH6.2.0安装部署
10-27
大数据平台CDH6.2.0安装部署 大数据平台CDH6.2.0安装部署是指使用Cloudera Manager 6.2.0版本安装和部署大数据平台的过程。该过程包括安装Cloudera Manager Server、配置MySQL数据库、部署CDH Parcel文件、配置...
CDH-6.2.0-1.cdh6.2.0.p0.967373-el7.7z.001
07-01
文件太大分三个压缩包,内容包括:CDH-6.2.0-1.cdh6.2.0.p0.967373-el7.parcel CDH-6.2.0-1.cdh6.2.0.p0.967373-el7.parcel.sha1 manifest.json
CDH-6.2.0-1.cdh6.2.0.p0.967373-el7.7z.003
07-01
文件太大分三个压缩包,内容包括:CDH-6.2.0-1.cdh6.2.0.p0.967373-el7.parcel CDH-6.2.0-1.cdh6.2.0.p0.967373-el7.parcel.sha1 manifest.json
jce-policy-8
最新发布
03-22
UnlimitedJCEPolicyJDK8是Java加密扩展包(JCE)的无限制策略文件。由于美国出口限制规定,Java加密扩展包目前仅提供56位的密钥长度,而实际安全要求至少要128位。为了解决这个问题,SUN公司通过权限文件做了相应限制(local_policy.jar和US_export_policy.jar),而UnlimitedJCEPolicyJDK8就是用来减少这些限制的相关文件。 具体来说,UnlimitedJCEPolicyJDK8可以帮助Java应用程序使用更长的密钥长度,从而提供更强的加密安全性。在使用过程中,需要将UnlimitedJCEPolicyJDK8目录下的所有jar包拷贝至集群所有节点的${JAVA_HOME}/jre/lib/security目录下,以替换原有的限制文件。 请注意,在处理加密和安全性相关的问题时,应确保遵循最佳实践和安全标准,以防止潜在的安全风险。同时,请确保从可信的来源获取UnlimitedJCEPolicyJDK8文件,以防止恶意软件或篡改的风险。
jce-policy-8.zip
04-18
jce_policy-8.zip用于对信息加密时对数据的长度没有任何限制;现在许多企业都会对java依赖包和源代码进行扫描,以增加系统的安全性,防止信息泄露
JCE_Policy_8
04-02
Java8 正式版的 JCE Policy 8 补丁
jce-policy-8 JDK8安装JCE无限强度
01-14
jce_policy-8.zip jar包,jdk,安全,security,oracle官网下载 稍微麻烦 上传供大家方便下载
JDK8 安装 Java Cryptography Extension(JCE
张伯毅的专栏
03-28 6099
.一 .前言二 .安装2.1. 环境说明2.2. 获取JCE2.3. 安装2.3. 验证 一 .前言 默认情况下, CentOS和RedHat5.5或更高的版本中,对Kerberos 票证使用AES-256加密,因此必须在集群所有节点的JDK安装Java Cryptography Extension(JCE)无限制强度加密策略文件。 注意:使用JDK 1.8.0_161或更高版本时,不需要再安装JCE Policy File。JDK 1.8.0_161默认启用无限强度加密。 二 .安装 2.1. 环境
解决SVN Update更新速度为0且再次更新报错问题
又菜又爱玩的小熊
04-13 2738
文章目录一、问题描述1.SVN Update更新速度为02.再次SVN Update更新报错无法更新二、解决方法1.选择Clean up2.勾选Break write locks点击ok即可3.再次SVN Update更新即可 一、问题描述 1.SVN Update更新速度为0 2.再次SVN Update更新报错无法更新 二、解决方法 1.选择Clean up 2.勾选Break write locks点击ok即可 3.再次SVN Update更新即可 ...
SVN 实时备份
无法落地的技术、理论就是耍流氓--赢在实践
11-25 4982
有一次SVN服务器机器坏了,整个研发部门都无法工作了,压力就全在我一个人身上了。好在很快恢复了,但未雨绸缪,以后不能在遇到这种事情了,SVN这么重要的服务器,必须双向备份,快速切换。 镜像服务器:192.168.11.94 原始服务器: 192.168.11.194 镜像服务器操作: —————————————————————————————————————————————————
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值