kerberos部署

最新推荐文章于 2024-05-23 10:50:22 发布
最新推荐文章于 2024-05-23 10:50:22 发布
阅读量392 收藏
点赞数
分类专栏: kerberos hadoop-权限管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41350766/article/details/101059215
版权

1.安装krb

yum -y install krb5-server krb5-libs krb5-auth-dialog krb5-workstation

2.配置krb5.conf

vi /etc/krb5.conf
----------------------------------------------------------------------------------------仅编辑部分
	[libdefaults]
		default_realm = HADOOP.COM
		 #default_ccache_name = KEYRING:persistent:%{uid} #注释当前配置。
	[realms]
		kdc = kerberos_server主机名称
		admin_server = kerberos_server主机名称
	[domain_realm] domain_realm:当domain名和realm名不同的时候要设置,一般配置 `小写($default_realm)` = $default_realm
		.hadoop.com = HADOOP.COM
		hadoop.com = HADOOP.COM
----------------------------------------------------------------------------------------

vi /var/kerberos/krb5kdc/kadm5.acl
----------------------------------------------------------------------------------------
	*/admin@HADOOP.COM      *	#配置hadoop.com里,名称匹配 */admin 的用户都是kerberos管理员。
----------------------------------------------------------------------------------------

vi /var/kerberos/krb5kdc/kdc.conf
----------------------------------------------------------------------------------------
	[realms]
	HADOOP.COM = {
 		max_renewable_life= 7d 0h 0m 0s
	}
----------------------------------------------------------------------------------------

3.创建Kerberos数据库

kdb5_util create -r HADOOP.COM -s #输入管理员密码

4.创建Kerberos的管理账号(admin/admin)

kadmin.local
	addprinc admin/admin@HADOOP.COM

5.将Kerberos服务添加到自启动服务,并启动krb5kdc和kadmin服务

systemctl enable krb5kdc
systemctl enable kadmin
systemctl start krb5kdc
systemctl start kadmin

常见问题
1.ticket not renewable (kinit -R -c [ticket cache path]异常)
参看链接Kerberos常见错误

  • 检查krb5.conf
 ticket_lifetime = 24h #ticket生效时限
 renew_lifetime = 7d #ticket最长可被延期的时限
 forwardable = true
  • 检查kdc.conf
  max_renewable_life = 7d 0h 0m 0s
  • 检查krbtgt用户的Maximum renewable life
#kadmin.local
getprinc krbtgt/EXAMPLE.COM@EXAMPLE.COM
#当Maximum renewable life:0day,执行
modprinc -maxrenewlife "7d"  krbtgt/EXAMPLE.COM@EXAMPLE.COM
#Maximum renewable life:7day
  • 删除ticket cache
    rm -f /var/run/hue/hue_krb5_ccache
  • 重启hue(hue kerberos ticket renewer抛出的异常)
Lzy失控的
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kerberos部署.docx
05-02
Kerberos部署详解》 Kerberos协议是网络身份验证的一种强大工具,尤其在多服务环境中,其Single Sign-On(SSO)功能为用户提供了一种便捷且安全的身份验证方式。用户只需一次登录,即可访问多个受保护的服务,极...
HUE+kerberos启动报错Couldn't renew kerberos ticket解决方案
vah101的专栏
01-19 6740
配置好hue+kerberos后,启动报错:[19/Jan/2018 07:10:08 +0000] kt_renewer INFO Renewing kerberos ticket to work around kerberos 1.8.1: /usr/bin/kinit -R -c /var/run/hue/hue_krb5_ccache kinit: KDC can't fulf...
聊聊 kerberos 的 kinit 命令和 ccache 机制
明哥的IT随笔
03-11 4444
1. 前言 大家好,最近遇到了个 kerberos 相关问题,“客户端节点上执行 kinit -R 命令报错:KDC can’t fulfill requested option while renewing credentials”, 在次跟大家分享下问题的解决方式,和背后的相关知识点,主要涉及到 kerberos 的 kinit 命令和 ccache 机制。 2. 问题现象与问题日志 问题现象: 客户端执行命令 kinit -R 报错: “KDC can’t fulfill requested opt
kafka Kerberos集群环境部署验证
最新发布
麦田里的守望者-蒋中洲【相信相信的力量】
05-23 456
修改完成后,重复上述步骤,分别完成citicbank-bdp-1a-04 / citicbank-bdp-1a-05主机上的keytab文件生成,重启kafka服务即可。注意:需要给每个机器生成单独的keytab文件,然后将生成的文件拷贝到对应的kafka服务节点的/export/server/文件夹子下。然后将该主机/root/kafka.keytab文件拷贝到citicbank-bdp-1a-03主机的/export/server/目录下。例如:citicbank-bdp-1a-03主机。
kinit: KDC can‘t fulfill requested option while renewing credentials
jzy3711的博客
10-02 2949
1,检查配置文件/var/kerberos/krb5kdc/kdc.conf,在[realms]下需要有max_renewable_life = 7d。为啥推荐使用klist,执行命令需要和和klist中的Default principal: root@AM.COM对应。3.klist 查看cache文件 或者在/etc/krb5.conf中查看相应的配置文件,推荐使用klist。在测试集群上装上了kerberos,今天同事需要使用kinit -R 命令,在执行时报错。8.重新执行kinit -R成功。
大数据生态安全框架的实现原理与最佳实践(上篇)
明哥的IT随笔
06-09 1030
下数据生态中安全框架的实现原理与最佳实践,包含以下章节: - 大数据生态安全框架概述 - HDFS 认证详解 - HDFS 授权详解 - HIVE 认证详解 - HIVE 授权详解 - 金融行业大数据安全最佳实践
Kerberos 的安装和使用
u011250186的博客
11-25 3741
Kerberos 的安装和使用
Hadoop部署和配置Kerberos安全认证
05-17
Hadoop部署和配置Kerberos安全认证全套流程。已经过实测并部署与生产环境。
kerberos+hadoop搭建
04-01
Kerberos+Hadoop 搭建 Kerberos 是一个身份验证协议,用于提供安全的身份验证和票据授予机制。Hadoop 是一个大数据处理框架,用于处理和存储大量数据。下面将详细介绍 Kerberos+Hadoop 搭建的过程。 环境准备 在...
kerberos环境搭建
06-27
Kerberos是一种网络认证协议,它为用户提供了一种安全的身份验证机制,特别是在分布式环境中。该协议基于密钥分发中心(KDC),确保了通信双方的身份,并...记住,理解Kerberos的工作原理和安全特性是成功部署的关键。
kafka+kerberos+sasl安装部署手册
03-02
kafka+kerberos+sasl安装部署手册,带kerberos认证方式的安装部署手册
HDFS配置Kerberos认证
热门推荐
wulantian的专栏
12-26 4万+
HDFS配置Kerberos认证 2014.11.04 本文主要记录 CDH Hadoop 集群上配置 HDFS 集成 Kerberos 的过程,包括 Kerberos 的安装和 Hadoop 相关配置修改说明。 注意: 下面第一、二部分内容,摘抄自《Hadoop的kerberos的实践部署》,主要是为了对 Hadoop 的认证机制和 Kerberos 认证协议做个简单
hadoop 添加kerberos认证
hua840812的专栏
03-21 3985
参考Cloudera官方文档:Configuring Hadoop Security in CDH3 一、部署kerberos认证的Hadoop环境 参考另一篇笔记:hadoop集群部署 或者按照Cloudera的官方文档:CDH3 Installation Guide. 二、环境说明 1、主机名 之前部署hadoop集群时,没有使
Kerberos 部署与使用
hyunbar的博客
01-23 3623
大数据技术AI Flink/Spark/Hadoop/数仓,数据分析、面试,源码解读等干货学习资料 105篇原创内容 ...
大数据权限认证 Kerberos 部署
u011047968的专栏
03-01 1448
Kerberos是一种网络身份验证协议,旨在支持使用密钥加密的客户端/服务器应用程序的强大身份验证。Kerberos 为网络资源提供最高级别的安全性。Kerberos 应用客户端/服务器体系结构并支持用户到服务器的身份验证,而不是主机到主机的身份验证。在此模型中,安全性和身份验证将取决于密钥技术,其中网络上的每个主机都有自己的密钥。
kerberos】深入理解kerberos票据生命周期
Mrerlou的博客
06-17 1924
查看当前服务器票据 Valid starting:认证的时间,也就是执行kinit的时间:2019-11-27T14:01:44 Expires:失效时间2019-11-28T14:01:44,这个时间是票据当前生命周期的失效时间 renew until:票据一个生命周期过后,都会自动刷新一次获得新的票据,直到2019-12-04T14:01:44,每次刷新后Expires都会变化; 当然也可以手动刷新 手动刷新的话,valid starting和Expires会变,renew until不变 其实可以
从kinit到kerberos安全机制
weixin_34248849的博客
06-04 898
2019独角兽企业重金招聘Python工程师标准>>> ...
使用某个用户登录命令:kinit adminad
知识的力量
09-14 1万+
使用某个用户登录命令:kinit admin/admin 票据生成方法: hdfs 票据 su hdfs klist hdfs-rdspproduction@CARS.COM 票据 然后切换到155机器 执行 su hdfs kinit -kt /etc/security/keytabs/hdfs.headless.key
kinit相关命令
weixin_34357928的博客
12-13 3万+
生成keytab后,使用该文件认证 认证的命令如下: kinit -kt /xxx/xxx.keytab xxx@xxx.xxx.com 认证后,kerberos就给这个用户一个有效期,用klist命令可以看到这个有效期 klist -kt /xxx/xxx.keytab 可以用chmod给其他用户加上r权限,这样其他用户也能使用这个keytab文件 配合svn命令一起用,在有效期内就不需要每...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值