CDH6.3.2之Kerberos安全认证

最新推荐文章于 2023-06-22 21:53:03 发布
最新推荐文章于 2023-06-22 21:53:03 发布
阅读量2k 收藏 9
点赞数
分类专栏: Hadoop 大数据工具 文章标签: CDH6.3.2 Kerberos安全认证 CHDKerberos认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ytp552200ytp/article/details/109643832
版权

问题导读:
1、Kerberos认证原理是什么?
2、Kerberos如何部署?
3、CDH集群如何启用Kerberos?
4、如何在Kerberos安全环境使用HFDS?

 

01 PART
Kerberos简介

       Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。

      本篇就介绍如何在CDH集群中开启Kerberos安全认证,让Kerberos为集群数据安全保驾护航。

02 PART
Kerberos认证原理



1.基本概概念

KDC:Key Distribute Center,密钥分发中心,其中包含认证服务器,票证授权服务器,和数据库
AS:AuthenticationServer,认证服务器
TGS:TicketGranting Server,票证授权服务器
TGT:Ticket Granting Ticket1票证授予票证
Principal:主体,用于在kerberos加密系统中标记一个唯一的身份。主体可以是用户(如zhangsan)或服务(如namenode或hive)。

2.认证流程

(1)客户端执行kinit命令,输入Principal及Password,向AS证明身份,并请求获取TGT。
(2)AS检查Database中是否存有客户端输入的Principal,如有则向客户端返回TGT。
(3)客户端获取TGT后,向TGS请求ServerTicket。
(4)TGS收到请求,检查Database中是否存有客户端所请求服务的Principal,如有则向客户端返回ServerTicket。
(5)客户端收到ServerTicket,则向目标服务发起请求。
(6)目标服务收到请求,响应客户端。


03 PART
Kerberos部署

1.安装Kerberos相关服务

       选择集群中的一台主机(hadoop102.example.com)作为Kerberos服务端,安装KDC,所有主机都需要部署Kerberos客户端。

服务端主机执行以下安装命令

yum install -y krb5-server krb5-workstation krb5-libs

客户端主机执行以下安装命令

yum install -y krb5-workstation krb5-libs

2.修改配置文件

(1)服务端主机(hadoop102.example.com)

修改/var/kerberos/krb5kdc/kdc.conf文件,内容如下

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 EXAMPLE.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  max_life = 1d
  max_renewable_life = 7d
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }

(2)客户端主机(所有主机)

修改/etc/krb5.conf文件,内容如下

# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
 default_realm = EXAMPLE.COM
 #default_ccache_name = KEYRING:persistent:%{uid}
 udp_preference_limit = 1
[realms]
 EXAMPLE.COM = {
  kdc = hadoop102.example.com
  admin_server = hadoop102.example.com
 }

[domain_realm]
 .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM

3.初始化KDC数据库

在服务端主机(hadoop102.example.com)执行以下命令

kdb5_utilcreate -s

4.修改管理员权限配置文件

在服务端主机(hadoop102.example.com)修改/var/kerberos/krb5kdc/kadm5.acl文件,内容如下

*/admin@EXAMPLE.COM     *

5.启动Kerberos相关服务

启动KDC

systemctl start krb5kdc

启动Kadmin,该服务为KDC数据库访问入口

systemctl start kadmin

04PART
CDH集群启用Kerberos

1.为CM创建Kerberos管理员主体

kadmin.local -q "addprinc cloudera-scm/admin"

2.启用Kerberos


3.环境确认(勾选全部)


4.填写KDC配置


5.继续

6.填写主体名和密码

7.等待导入KDC

8.重启集群

9.完毕


05 PART
Kerberos安全环境使用

在集群启用Kerberos之后,用户访问各服务都需要先通过Kerberos认证。下面通过访问HFDS,Hive演示具体操作方式。

1.为用户向Kerberos注册账号(Principal)

在Kerberos服务端主机(hadoop102.example.com)执行以下命令,并输入密码,完成注册

kadmin.local -q "addprinc hdfs/hdfs@EXAMPLE.COM"

2.用户认证,执行以下命令,并输入密码,完成认证

kinit hdfs/hdfs@EXAMPLE.COM

查看当前认证状态

$ klist

Ticket cache: FILE:/tmp/krb5cc_0
Default principal: hdfs/hdfs@EXAMPLE.COM

Valid starting       Expires              Service principal
11/05/2020 14:29:23  11/06/2020 14:29:23  krbtgt/EXAMPLE.COM@EXAMPLE.COM
  renew until 11/12/2020 14:29:23

注:如需在非交互环境认证,例如在代码中认证,则可通过以下命令生成密钥文件,在代码中指定密钥文件路径即可。需要注意的是,生成密钥文件之后,密码随之失效。

kadmin.local -q "xst -k /path/to/your/keytab/admin.keytab hdfs/hdfs@EXAMPLE.COM"

3.访问HDFS

认证前

$ hadoop fs -ls /

20/11/05 14:28:28 WARN ipc.Client: Exception encountered while connecting to the server : org.apache.hadoop.security.AccessControlException: Client cannot authenticate via:[TOKEN, KERBEROS]
ls: Failed on local exception: java.io.IOException: org.apache.hadoop.security.AccessCont

认证后

$ hadoop fs -ls /
Found 2 items

drwxrwxrwt   - hdfs    supergroup          0 2020-11-02 15:52 /tmp
drwxr-xr-x   - hdfs    supergroup          0 2020-11-03 09:23 /user

4.访问Hive

(1)hive客户端

认证前

$ hive

Exception in thread "main" java.lang.RuntimeException: java.io.IOException: Failed on local exception: java.io.IOException: org.apache.hadoop.security.AccessControlException: Client cannot authenticate via:[TOKEN, KERBEROS]; Host Details : local host is: "hadoop102.example.com/172.26.131.1"; destination host is: "hadoop102.example.com":8020; 
  at org.apache.hadoop.hive.ql.session.SessionState.start(SessionState.java:604)
  at org.apache.hadoop.hive.ql.session.SessionState.beginStart(SessionState.java:545)

认证后

$ hive

WARNING: Hive CLI is deprecated and migration to Beeline is recommended.
hive>

(2)beeline客户端

注:开启Kerberos之后,jdbc的url需增加hiveserver2的principal信息,如下

认证前

$ beeline -u " jdbc:hive2://hadoop102.example.com:10000/;principal=hive/hadoop102.example.com@EXAMPLE.COM"

Connecting to jdbc:hive2://hadoop102.example.com:10000/;principal=hive/hadoop102.example.com@EXAMPLE.COM
20/11/05 14:42:57 [main]: ERROR transport.TSaslTransport: SASL negotiation failure
javax.security.sasl.SaslException: GSS initiate failed
  at com.sun.security.sasl.gsskerb.GssKrb5Client.evaluateChallenge(GssKrb5Client.java:2

认证后

$ beeline -u " jdbc:hive2://hadoop102.example.com:10000/;principal=hive/hadoop102.example.com@EXAMPLE.COM"

Connecting to jdbc:hive2://hadoop102.example.com:10000/;principal=hive/hadoop102.example.com@EXAMPLE.COM
Connected to: Apache Hive (version 2.1.1-cdh6.3.2)
Driver: Hive JDBC (version 2.1.1-cdh6.3.2)
Transaction isolation: TRANSACTION_REPEATABLE_READ
Beeline version 2.1.1-cdh6.3.2 by Apache Hive
0: jdbc:hive2://hadoop102.example.com:10000/>

 

000X000
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
troubleshooting-Kerberos 鉴权异常
dianjun2454的博客
09-23 3107
ERROR transport.TSaslTransport: SASL negotiation failurejavax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to f...
四、openldap整合hive
dockj的博客
12-01 2233
一、配置整合hive用户 适合cdh5.7.6+的版本的hive,cdh5.5.0版本的hive会出现如下问题: 2018-08-23 13:59:48,304 ERROR [HiveServer2-Handler-Pool: Thread-29]: transport.TSaslTransport (TSaslTransport.java:open(315)) - SASL negotiati...
Kerberos安全认证-连载10-Hive Kerberos 安全配置及访问
qq_32020645的博客
06-22 4036
技术连载系列,前面内容请参考前面连载9内容:​​​​​​​Hive底层数据存储在HDFS中,HQL执行默认会转换成MR执行在Yarn中,当HDFS配置了Kerberos安全认证时,只对HDFS进行认证是不够的,因为Hive作为数据仓库基础架构也需要访问HDFS上的数据。因此,为了确保整个大数据环境的安全性,Hive也需要配置Kerberos安全认证,这样可以控制对Hive和底层HDFS数据的访问权限,防止未经授权的访问和操作,确保数据的安全性。目前对HDFS进行了Kerberos安全认证后,在Hive。
CDH安装kerberos后无法启动各组件的解决办法
永无止境
12-16 1426
起因:cm库被误删,导致cm打不开,将历史备份的cm库恢复后,cm管理界面能启动,但是各组件状态不正常(显示红色告警,都是停止状态,实际是启动状态)。 解决:1、CMS启动报错,将/var/lib/cloudera-host-monitor,/var/lib/cloudera-service-monitor,/var/lib/cloudera-scm-eventserver删除,重启CMS成功。...
hadoop 添加kerberos认证
hua840812的专栏
03-21 3977
参考Cloudera官方文档:Configuring Hadoop Security in CDH3 一、部署无kerberos认证的Hadoop环境 参考另一篇笔记:hadoop集群部署 或者按照Cloudera的官方文档:CDH3 Installation Guide. 二、环境说明 1、主机名 之前部署hadoop集群时,没有使
CDH启用kerberos认证问题导致GSS initiate failed
热门推荐
jaysen1005的博客
03-20 1万+
问题描述:CDH启用Kerberos后使用beeline连接HiveServer2出错,错误信息如下: 解决方案: 先进入CM管理界面,停止hive 然后在管理->安全界面点击Kerberos凭据 在主体中找到hive所依赖的凭据,勾选后重新生成所选项。 生成凭据 然后启动hive,验证成功! 问题解决!!! ...
cdh6.3.2 集成 Phoenix
02-08
本篇文章将详细讲解如何在CDH 6.3.2版本中集成Phoenix,以便充分利用其功能。 **一、CDH 6.3.2与Phoenix的兼容性** CDH 6.3.2是Cloudera公司发布的基于Apache Hadoop的一个特定版本,它已经经过优化,能够很好地...
适配CDH6.3.2的Spark3.2.2
08-16
Spark3.2.2是Apache Spark的一个重要版本,它提供了许多新特性和性能优化,而适配CDH6.3.2则意味着该版本的Spark已经经过了与Cloudera Data Hub (CDH) 6.3.2的兼容性验证。CDH是一个流行的Hadoop发行版,包含了...
cdh6.3.2安装包免费下载
最新发布
11-08
cdh6.3.2安装包,第二个文件,因为cdh的parcel包很大, 所以分成了三个。 里边的文件包含: CDH-6.3.2-1.cdh6.3.2.p0.1605554-el7.parcel,1.93GB CDH-6.3.2-1.cdh6.3.2.p0.1605554-el7.parcel.sha,40字节 CDH-...
hive2.1.1-cdh6.3.2
05-08
CDH6.3.2环境下,Hive JDBC驱动还支持SSL加密的连接,增强了数据安全性和隐私保护。此外,Hive 2.1.1引入了诸如ACID(原子性、一致性、隔离性、持久性)事务支持、改进的查询性能和并行执行等特性,使得在大数据...
Flink-1.16.2 CDH6.3.2
09-26
CDH6.3.2集成安装Flink-1.16.2,所需的包都在文件里面了,不用再自己打包了 参考部署教程: https://blog.csdn.net/qq_31454379/article/details/110440037 https://www.cnblogs.com/lshan/p/16469294.html
Solr / CDH 下启用kerberos 开启http 权限验证的solrj开发
feiying2j的博客
06-24 2358
前提:最近用的CDH 下solr的高可用查询,由于开启了kerberos必须要http权限验证。而且必须采用solrj的CloudSolrServer。在研究一天之后,找到可行方案。直接上干货,希望后来者有所帮助。 @Test public void TestSolrServer() throws Exception { System.out.println("----------
系统登录失败(鉴权认证超时、断路器异常、连接无法建立):
dych1693的博客
03-10 2998
1、web容器层报错信息: 2、gateway报错: 解决办法: 1、 web容器层: 2、 gateway:
org.apache.thrift.transport.TTransportException: SASL authentication not complete
fairynini的博客
05-14 5718
问题: jdbc连接hive,已经查出数据,但是会出现 SASL authentication not complete问题。 原因是先关闭了connect,再关闭查询,顺序反了,应该最后关闭connection。 错误: 正确: 就没有上述问题了。
Remote connection failed: javax.security.sasl.SaslException: Authentication failed: all available au
jerry_player的博客
06-26 4735
https://developer.jboss.org/thread/195087 此文中讲到了另一个问题,上述方法不成功,可以尝试此链接中的方法尝试
hive配置Kerbros安全认证
qianfeng_dashuju的博客
07-07 1607
需求: 对新建hadoop集群和hive集群的安全认证安装部署。 ​ 版本: centos 7.7 hadoop 2.7.6 hive 1.2.2 ​ 部署规划: 192.168.216.111 hadoop01 namenode、resourcemanager、datanode、nodemanager、hive、KDC服务 192.168.216.112 hadoop02 datanode、nodemanager、secondarynamenode、kerbros客户端 192.168.216.113.
Client cannot authenticate via:[TOKEN, KERBEROS]
tutouxiaocaiji的博客
10-26 4252
尝试把用户kdestroy然后再kinit。 https://blog.csdn.net/zhanglong_4444/article/details/115287040

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值