ZOOKEEPER、HDFS、YARN、HBASE配置Kerberos认证

最新推荐文章于 2024-05-01 08:50:23 发布
最新推荐文章于 2024-05-01 08:50:23 发布
阅读量5k 收藏 14
点赞数 10
分类专栏: kerberos 文章标签: HDFS配置kerberos YARN配置kerberos HBase配置kerberos zookeeper配置kerberos kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39971186/article/details/87994659
版权

 注:在配置kerberos认证之前,必须先确保成功安装kerberos集群

  安装教程:Centos7安装大数据安全认证组件Kerberos

一、环境说明

环境说明
                   系统环境                                  集群节点分布
      名称        版本          IP地址       主机名     kerberos 服务分布
    JDK版本       1.8  192.168.120.110     hadoop01         server/client
   Linux版本    Centos7  192.168.120.111     hadoop02             client
   操作用户       root  192.168.120.112     hadoop03             client

二、生成HDFS/Zookeeper/Hbase的keytab证书

1.生成Zookeeper的keytab证书

这里需要说明的是,我使用的是自己搭建的基于原生Apache大数据组件的集群,启动和使用集群的普通用户是hadoop,所以在生成keytab时需要添加hadoop用户的凭据,还需要添加HTTP及Zookeeper的凭据,添加HTTP凭据是因为集群网络通讯所需的,而Zookeeper的凭据是因为Zookeeper配置kerberos认证时的jaas.conf中的server端必须指定的,那么下面就来生成对应的凭据吧。保证在启动了kerberos的krb5kdc和kadmin服务后,在安装了kerberos服务器端的节点上,我这里安装kerberos服务器的节点是hadoop01,所以我在hadoop01节点上使用root用户生成相应的keytab证书,命令如下:

#添加HTTP服务的凭据
kadmin.local -q "addprinc -randkey HTTP/$host@HADOOP.COM"
#添加zookeeper的凭据
kadmin.local -q "addprinc -randkey zookeeper/$host@HADOOP.COM"
#添加hadoop用户的凭据
kadmin.local -q "addprinc -randkey hadoop/$host@HADOOP.COM"
#生成包含前三个凭据的keytab证书,hadoop.keytab为最终生成的证书的名称
kadmin.local -q "xst -k hadoop.keytab hadoop/$host HTTP/$host zookeeper/$host"

执行上述命令后,生成的hadoop.keytab就在执行该命令的路径下,我们需要在集群每个节点提前准备一个存放keytab证书的目录,我是将每个节点生成的keytab证书放在每个主机提前创建好的 /etc / security/keytab 目录中,需要注意的是,集群中有几个节点就需要在kerberos服务器节点hadoop01上执行上面的四条命令几次,因为要生成集群中每个主机对应的keytab证书,当要生成某个节点的keytab证书时,需要将上面命令中的 $host 替换成对应节点的主机名,然后将每个节点生成的hadoop.keytab证书远程发送到对应节点的 /etc / security/keytab 目录,因为有了 keytab 相当于有了永久凭证,不需要提供密码(如果修改 kdc 中的 principal 的密码,则该 keytab 就会失效),所以其他用户如果对该文件有读权限,就可以冒充 keytab 中指定的用户身份访问集群中的服务,所以 keytab 文件需要确保只对 owner(我这里的owner是hadoop用户) 有读权限。

#修改keytab存放目录的用户组
chown -R hadoop:hadoop /etc/security/keytab
#修改hadoop.keytab证书的权限为400
chmod 400 /etc/security/keytab/hadoop.keytab

三、Zookeeper配置kerberos认证

 :以下的内容可以在一个节点配置好发送到其他节点相应路径下,其他内容一致但需要修改3.2中的jaas.conf中的host_name为当前节点的主机名!

 3.1 修改$ZOOKEEPER_HOME/conf/目录下创建zoo.cfg配置文件,在原有配置文件的末尾添加如下内容:

kerberos.removeHostFromPrincipal=true
kerberos.removeRealmFromPrincipal=true

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
jaasLoginRenew=3600000

3.2 在$ZOOKEEPER_HOME/conf/目录下创建jaas.conf配置文件,其内容如下:

Server {
  com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=true
  keyTab="/etc/security/keytab/hadoop.keytab" #keytab证书的位置
  storeKey=true
  useTicketCache=false
  principal="zookeeper/host_name@HADOOP.COM"; #这里必须是zookeeper,否则zk的客户端后面启动报错
};

Client {
  com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=true
  keyTab="/etc/security/keytab/hadoop.keytab"
  storeKey=true
  useTicketCache=false
  principal="hadoop/host_name@HADOOP.COM";
};

注意:上面配置文件中的host_name是每个节点对应的主机名,我之前在网上学习别的大牛关于zookeeper配置kerberos的时候,他们配置的是:principal="hadoop/_HOST@HADOOP.COM"; 当我跟着这样配置完所有节点,在启动zookeeper服务时,却发生了让我困扰了两天的问题,QuorumPeerMain 进程死活启动不起来,我去查看zookeeper的log日志,报错如下:

java.io.IOException: Could not configure server because SASL configuration did not allow the  ZooKeeper server to authenticate itself properly: javax.security.auth.login.LoginException: No password provided
	at org.apache.zookeeper.server.ServerCnxnFactory.configureSaslLogin(ServerCnxnFactory.java:211)
	at org.apache.zookeeper.server.NIOServerCnxnFactory.configure(NIOServerCnxnFactory.java:82)
	at org.apache.zookeeper.server.quorum.QuorumPeerMain.runFromConfig(QuorumPeerMain.java:130)
	at org.apache.zookeeper.server.quorum.QuorumPeerMain.initializeAndRun(QuorumPeerMain.java:111)
	at org.apache.zookeeper.server.quorum.QuorumPeerMain.main(QuorumPeerMain.java:78)

报错的内容是:无法配置服务器,因为SASL配置不允许ZooKeeper服务器正确地进行身份验证,这到底是什么意思?我去网上查询了这个错,但几乎查不到对症的解决方案和原因,有的说是zookeeper可能配置的伪分布式的,国外的有两篇博客跟我同样的错,但是他们的解答是keytab证书生成的有问题或是未配置 udp_preference_limit = 1 ,即kerberos必须使用tcp协议而不是udp,但是显然这些原因我都已经反复检查过了,没有问题,在反复的查资料和测试的时候,我才忽然发现是因为 _HOST 这个配置在HDFS、YARN及HBASE的xml配置文件中是可以自动解析成对应节点的主机名,而在jaas.conf这里无法解析对应节点的主机名,通过监控KDC的krb5kdc.log文件,发现这里将_HOST 解析成了host,所以导致zookeeper进程无法启动。

3.3 在$ZOOKEEPER_HOME/conf/目录下创建java.env配置文件,添加如下内容:

export JVMFLAGS="-Djava.security.auth.login.config=$ZOOKEEPER_HOME/conf/jaas.conf"

3.4 重启zookeeper服务即可

3.5 zookeeper客户端连接

  在配置完上述步骤后,zookeeper进程所有节点启动正常,但是使用zkCli.sh连接客户端却无法连接,这是什么原因呢?

 

通过查看KDC服务器的日志发现了问题的根源,zkCli.sh连接客户端时默认server为localhost ,本来这里应该是hadoop01才对。

所以解决的办法就是指定sever进行连接:zkCli.sh -server   主机名:2181 。 

四、HDFS配置Kerberos认证

  4.1 配置$HADOOP_HOME/etc/hadoop/core-site.xml文件,在原来文件基础上添加如下内容:

<!-- 配置kerberos认证 -->
<property>
	<name>hadoop.security.authentication</name>
	<value>kerberos</value>
</property>

<property>
	<name>hadoop.security.authorization</name>
	<value>true</value>
</property>
<pr
最低0.47元/天 解锁文章
程序猿丶HLK
关注
  • 10
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 27
    评论
专栏目录
hadoop快速集成kerberos认证
01-13
里面包含hadoop快速集成kerberos认证相关脚本与安装包。可以通过脚本直接修改hadoop,zookeeperhbase关于集成kerberos相关配置,一键修改,一键启动,方便快捷!!!
hadoop+HA+zookeeper+hbase配置文件
04-25
在实际部署环境中,还需要考虑安全性和性能优化,例如启用Hadoop的安全认证(如Kerberos)、调整HDFSYARN的参数以适应具体硬件和负载情况,以及对Zookeeper的TTL和会话超时进行适当设置。 通过以上步骤,你可以...
Hadoop datanode启动异常 ERROR org.apache.hadoop.hdfs.server.datanode.DataNode
Kason_iWiki
11-25 2513
发现这两个id不一致,经查阅相关资料,id不一致会导致Initialization failed for Block pool。线上收到hadoop集群datanode掉线告警。然后再次尝试启动datanode进程。发现未存在datanode进程。
2024年最新Apache zookeeper kafka 开启SASL安全认证_kafka开启认证
最新发布
2401_84302369的博客
05-01 1264
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。使用kafka-console-producer.sh脚本测试生产者,由于开启安全认证和授权,此时使用console-producer脚本来尝试发送消息,那么消息会发送失败,原因是没有指定合法的认证用户,因此客户端需要做相应的配置,需要创建一个名为producer.conf的配置文件给producer程序使用。
Kerberos安全认证-连载11-HBase Kerberos安全配置及访问_kerberos hbase
m0_60607536的博客
04-05 1321
以上可以先在node3节点进行配置,然后分发到node4~node5节点上。如下:在node3~node5各个节点执行如下命令,启动zookeeper。#启动zookeeper#检查zookeeper状态HBase也支持Kerberos安全认证,经过测试,HBase2.5.x版本在经过Kerberos认证后与Hadoop通信认证有异常,具体报错如下:我们这里使用的Hadoop版本为3.3.4,HBase版本选择2.2.6版本。
Kerberos安装及集成hdfs、hive
weixin_44455388的博客
11-21 5289
环境: 1 台Centos6.5主机 部署 master KDC 2 台 Centos6.5主机 部署 Kerberos Client 1、Master主机安装Kerberos yum install krb5-server krb5-libs krb5-workstation -y 1.1 配置kdc.conf vim /var/kerberos/krb5kdc/kdc.conf [kdcde...
hadoop、hbasezookeeper整合kerberos,搭建安全平台
杂记
10-31 6319
随着Hadoop等大数据技术的普及,其平台的安全性日益受到企业的重视,特别是对安全性要求较高的通信、金融等领域。而安全性主要包括两个部分:Authentication、Authorization。 本文侧重于Authentication方面,旨在通用整合Kerberos,提升大数据平台的安全性,降低风险。 至于Authorization方面内容,另有篇幅描述。
hbase1.2配置(带kerberos认证)
manweizhizhuxia的博客
08-09 1324
hbase配置
安装笔记:hadoop+hbase+sqoop2+phoenix+kerberos
01-12
【描述】:在本文中,我们将探讨如何在两台云主机(实际环境可能需要三台或更多)上安装Hadoop、HBase、Sqoop2、Phoenix以及Kerberos的详细过程,涵盖从伪分布式模式到Kerberos安全认证的完整步骤。 【标签】:...
CDH_5.15.1开启kerberos认证.docx
04-17
4. 配置Service Principal,如hdfsyarnhbase、hive等,设置它们的更新生命周期。 5. 不推荐使用Cloudera Manager管理`krb5.conf`,而是手动维护。 6. 输入CM的Kerberos账号,与之前创建的保持一致。 7. 确认...
HBase安装与配置资源下载:hbase-1.2.6
10-12
- **安全配置**:在生产环境中,可能需要配置安全性相关选项,如Kerberos认证HBase的使用包括创建表、插入数据、查询数据、更新数据等操作,可以使用HBase Shell或编程接口(如Java API)进行。学习HBase,还需...
zookeeper 源码阅读(2)
lxlmycsdnfree的博客
08-01 789
接着zookeeper 源码阅读(1) Zookeeper服务器的启动,大致可以分为以下五个步骤   1. 配置文件解析。   2. 初始化数据管理器。   3. 初始化网络I/O管理器。   4. 数据恢复。   5. 对外服务。   2.1 单机版服务器启动   单机版服务器的启动其流程图如下   上图的过程可以分为预启动和初始化过程。   1. 预启动     1....
CDH5.8.4-Hadoop2.6.0-hive-yarn-hbase 集群上配置集成 Kerberos认证
SimpleSimpleSimples的博客
01-26 630
1.Hadoop 的认证机制 简单来说,没有做 kerberos 认证的 Hadoop,只要有 client 端就能够连接上。而且,通过一个有 root 的权限的内网机器,通过创建对应的Linux用户,就能够得到 Hadoop 集群上对应的权限。而实行 Kerberos 后,任意机器的任意用户都必须现在 Kerberos 的 KDC 中有记录,才允许和集群中其它的模块进行通信...
java 连接 kerberos 认证HBaseHDFS
weixin_30241919的博客
08-30 615
这是两个功能,都很简单就写一块了。。 简单到什么程度呢,简单到只贴代码就可以了。。。 HBase package com.miras.data; import org.apache.hadoop.conf.Configuration; import org.apache.hadoop.hbase.HBaseConfiguration; import org.apache.had...
Java 数据以追加方式保存HDFS ,含kerberos 认证配置
jast
08-12 600
package com.jast.hdfs; import org.apache.hadoop.conf.Configuration; import org.apache.hadoop.fs.FSDataOutputStream; import org.apache.hadoop.fs.FileSystem; import org.apache.hadoop.fs.Path; import o...
从零搭建Hadoop+Zookeeper+HBase完全分布式集群
花开花落,随风漫步
03-24 501
为了方便介绍,这里我以3台服务器为例进行介绍,下面是主机的一些信息: 主机名 IP master 192.168.116.31 slave1 192.168.116.32 slave2 192.168.116.33 修改hosts文件,配置域名,编译hosts文件 vim /etc/hosts 添加一下内...
CDH开启kerberos后,HDFS连接的Java——API参数配置
gabele的专栏
01-07 3596
大数据平台的安全认证Kerberos是一个比较麻烦的东西,但往往为了平台的安全需要开启,开启后使用JavaAPI操作HDFS,需要进行用户登陆认证
Java 访问kerberos认证HDFS文件
杜海的博客
09-17 2565
1、创建Maven项目,导入以下依赖,必须: <dependency> <groupId>org.apache.hadoop</groupId> <artifactId>hadoop-common</artifactId> <ve...
java hdfs kerberos_从Windows使用JavaKerberos Keytab访问Cloudera上的HDFS
weixin_31107269的博客
02-16 399
我正在尝试连接到在Cloudera上运行的HDFS实例。我的第一个步骤启用Kerberos和创建Keytabs(如图所示这里)。在下一步中,我想使用密钥表进行身份验证。Configuration conf = new Configuration();conf.set("fs.defaultFS", "hdfs://cloudera:8020");conf.set("hadoop.security....
评论 27
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值