hadoop集群的kerberos认证

部分现场的集群增加了kerberos认证,
导致了一些linux脚本,hadoop程序,甚至是hbase访问的失败
就把如何进行kerberos认证总结了下
分成两个方向:

  • 一 . 命令行下的kerberos认证
  • 二 . java程序里的kerberos认证

一. 命令行下的kerberos认证

1. 使用用户名和密码做认证

    用户名即 principal name : shixiuru@EXAMPLE.COM
    密码为 : xxxxxx
    
    kinit shixiuru@EXAMPLE.COM
    输入密码完成该认证.

登录结果
查看当前认证的用户:

klist

当前认证的用户
生成用户的keytab文件

    kadmin.local -q "xst -norandkey -k /root/wus/shixiuru.keytab shixiuru@EXAMPLE.COM"    
注意: 只能在kerberos server所在机器上生成不改变密码的keytab文件,
如果在其他机器的kerberos管理员console生成keytab文件,无法使用不改变密码的参数 - norandkey

使用keytab文件认证

kinit -kt /root/wus/shixiuru.keytab shixiuru@EXAMPLE.COM```![kerberos文件认证](https://img-blog.csdn.net/20180823133921782?watermark/2/text/aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MDg2MTcwNw==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70)

修改kerberos有效期时间

Kerberos ticket具有lifetime,超过此时间则ticket就会过期,需要重新申请或renew。ticket lifetime取决于以下5项设置中的最小值:
ticket lifetime :

Kerberos server上/var/kerberos/krb5kdc/kdc.conf中max_life
内置principal krbtgt的maximum ticket life,可在kadmin命令行下用getprinc命令查看
你的principal的maximum ticket life,可在kadmin命令行下用getprinc命令查看
Kerberos client上/etc/krb5.conf的ticket_lifetime
kinit -l 参数后面指定的时间


通常方法 : 

vim /etc/krb5.conf //修改krbs.conf配置文件
里面有一个属性 :
ticket_lifetime = 24h

修改改时间为所期望的有效时间即可!

2. 登录kerberos 管理员console

管理员的principal name 为: admin/admin@EXAMPLE.COM
密码为 : xxxxxx

修改 principal name 的密码

进入管理员console
输入命令 : change_password -pw xxxxxx shixiuru@EXAMPLE.COM

修改管理员密码:
查看keytab文件对应的principal name

klist -kte /root/wus/shixiuru.keytab

对应的principal name

实际应用中:

shell脚本类型的程序,需要增加如下样例的验证命令:
   kinit -kt /root/wus/shixiuru.keytab shixiuru@EXAMPLE.COM
2. java程序下的kerberos认证
需要在原来程序的基础上,增加如下的代码:
    Configuration conf = new Configuration();
    conf.set("hadoop.security.authentication", "kerberos"); // 设置hadoop的登录认证为kerberos,默认的配置是simple
    System.setProperty("java.security.krb5.conf","conf/krb5.conf"); //指定kerberos的路径和文件名
    UserGroupInformation.setConfiguration(conf);
    UserGroupInformation.loginUserFromKeytab("shixiuru@EXAMPLE.COM", "conf/shixiuru.keytab");
    // 设置kerberos的用户名,和该用户的认证文件
这样就可以正常的访问集群了!
发布了56 篇原创文章 · 获赞 56 · 访问量 10万+
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 技术黑板 设计师: CSDN官方博客

分享到微信朋友圈

×

扫一扫,手机浏览