CDH kerberos 认证,安全认证

  • 环境

           centos 7.4

           

  • 安装KDC服务
yum -y install krb5-server krb5-libs krb5-auth-dialog krb5-workstation

  •  修改配置文件  vi /etc/krb5.conf

默认如下

 修改为

# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/[logging]default = FILE:/var/log/krb5libs.logkdc = FILE:/var/log/krb5kdc.logadmin_server = FILE:/var/log/kadmind.log[libdefaults]dns_lookup_realm = falseticket_lifetime = 24hrenew_lifetime = 7dforwardable = truerdns = falsepkinit_anchors = /etc/pki/tls/certs/ca-bundle.crtdefault_realm = JAST.COM
# default_ccache_name = KEYRING:persistent:%{uid}[realms]
JAST.COM = {kdc = hostname1admin_server = hostname1}[domain_realm].jast.com = JAST.COMjast.com = JAST.COM

 参数说明

[logging]:表示server端的日志的打印位置
[libdefaults]:每种连接的默认配置,需要注意以下几个关键的小配置
default_realm = HADOOP.COM 默认的realm,必须跟要配置的realm的名称一致。
udp_preference_limit = 1 禁止使用udp可以防止一个Hadoop中的错误
oticket_lifetime表明凭证生效的时限,一般为24小时。
orenew_lifetime表明凭证最长可以被延期的时限,一般为一个礼拜。当凭证过期之后, 
对安全认证的服务的后续访问则会失败。
[realms]:列举使用的realm。
kdc:代表要kdc的位置。
admin_server:代表admin的位置。
default_domain:代表默认的域名
[appdefaults]:可以设定一些针对特定应用的配置,覆盖默认配置。

  •  修改配置文件 /var/kerberos/krb5kdc/kadm5.acl 配置

原内容为  */admin@EXAMPLE.COM  *

修改为上面配置的域名

*/admin@JAST.COM  *
  • 修改配置文件 /var/kerberos/krb5kdc/kdc.conf 配置

默认为

修改为

[kdcdefaults]kdc_ports = 88kdc_tcp_ports = 88[realms]JAST.COM = {#master_key_type = aes256-ctsmax_renewable_life= 7d 0h 0m 0s acl_file = /var/kerberos/krb5kdc/kadm5.acldict_file = /usr/share/dict/wordsadmin_keytab = /var/kerberos/krb5kdc/kadm5.keytabsupported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal}

  • 创建Kerberos数据库

需输入两遍你的密码即可

[root@fwqml006 ~]# kdb5_util create -r JAST.COM -s
Loading random data
Initializing database '/var/kerberos/krb5kdc/principal' for realm 'JAST.COM',
master key name 'K/M@JAST.COM'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key: 
Re-enter KDC database master key to verify:

 创建完成再目录下有几个创建成功的文件,就是创建的数据文件

  • 创建Kerberos的管理账号
[root@xxx ~]# kadmin.local 
Authenticating as principal root/admin@JAST.COM with password.
kadmin.local:  addprinc admin/admin@JAST.COM #这里输入 addprinc admin/admin@JAST.COM
WARNING: no policy specified for admin/admin@JAST.COM; defaulting to no policy
Enter password for principal "admin/admin@JAST.COM":  #这里输入密码
Re-enter password for principal "admin/admin@JAST.COM":  #这里确认密码
Principal "admin/admin@JAST.COM" created.
kadmin.local:  exit #上面创建完成退出

如果使用 kadmin.local -q "addprinc admin/admin@JAST.COM" 启动的话,可以不需要输入kadmin.local

  • 将Kerberos服务添加到自启动服务,并启动krb5kdc和kadmin服务,查看状态
systemctl enable krb5kdc
systemctl enable kadmin
systemctl start krb5kdc
systemctl start kadmin
systemctl status krb5kdc
systemctl status kadmin

启动成功

  •  验证 kerberos 
[root@xxx ~]# kinit admin/admin@JAST.COM
Password for admin/admin@JAST.COM: #这里输入密码
[root@xxx ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: admin/admin@JAST.COMValid starting       Expires              Service principal
2019-08-05T14:18:54  2019-08-06T14:18:54  krbtgt/JAST.COM@JAST.COMrenew until 2019-08-12T14:18:54
  • 安装所有Kerberos客户端,集群中所有节点

所有节点执行

yum -y install krb5-libs krb5-workstation
  • 在Cloudera Manager Server服务器上安装额外的包
 yum -y install openldap-clients
  • 将KDC Server上的krb5.conf文件拷贝到所有Kerberos客户端
  • (注意:这里如果是自己复制过去,要注意权限问题,权限不够最终服务会因Kerberos认证不通过而启动失败)
scp /etc/krb5.conf root@10.248.161.17:/etc/

CDH集群启用Kerberos

  • 在KDC中给Cloudera Manager添加管理员账号
[root@fwqml006 ~]#  kadmin.local
Authenticating as principal admin/admin@JAST.COM with password.
kadmin.local:  addprinc cloudera-scm/admin@JAST.COM #这里输入cloudera-scm/admin@JAST.COM
WARNING: no policy specified for cloudera-scm/admin@JAST.COM; defaulting to no policy
Enter password for principal "cloudera-scm/admin@JAST.COM":  #这里输入密码
Re-enter password for principal "cloudera-scm/admin@JAST.COM":  #这里输入密码
Principal "cloudera-scm/admin@JAST.COM" created.
kadmin.local:  exit
  • 进入Cloudera Manager 管理页面启用 Kerberos

 

  • 全部勾选然后点击继续 

  • 填写方框中的信息,与上面配置文件中相同

  • 不建议让Cloudera Manager来管理krb5.conf, 点击“继续”

  •  .输入Cloudera Manager的Kerbers管理员账号,一定得和之前创建的账号一致,点击“继续”

  • 继续

 

  • 默认配置即可,点击继续

  • 选择重启集群,使配置生效

  •  这里要多等一会,可以去cm server日志中去查看进度

 启动集群报错参考 Socket Reader #1 for port 8022: readAndProcess from client:https://datamining.blog.csdn.net/article/details/98615398

 启动成功

  • 简单验证

 查看hdfs数据

 进入hbase shell 查看一下

 使用  kinit 进行授权即可使用, kinit xxx   ,xxx是你需要登陆的账号

 

创建账户详细使用参考:https://datamining.blog.csdn.net/article/details/98625330

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/509930.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

虚拟继承和虚表

虚拟继承和虚表

普通继承和虚拟继承类的大小变化: 普通继承: 虚拟继承: 类A和类B大小为: 由此可见:1、类中静态成员不会影…
阅读更多...
Kerberos 下运行spark 报错 Requested user hdfs is not whitelisted and has id 995,which is below the minimu

Kerberos 下运行spark 报错 Requested user hdfs is not whitelisted and has id 995,which is below the minimu

异常如下 main : run as user is hdfs main : requested yarn user is hdfs Requested user hdfs is not whitelisted and has id 995,which is below the minimum allowed 1000 问题原因:是由于Yarn限制了用户id小于1000的用户提交作业; 解决方法&a…
阅读更多...
kerberos 下运行spark 报错 Requested user hdfs is banned

kerberos 下运行spark 报错 Requested user hdfs is banned

启动运行报错 main : run as user is hdfs main : requested yarn user is hdfs Requested user hdfs is bannedFailing this attempt. Failing the application.ApplicationMaster host: N/AApplicationMaster RPC port: -1queue: root.defaultstart time: 1565170753121fina…
阅读更多...
node.js路由控制

node.js路由控制

一、工作原理 当通过浏览器访问app.js建立的服务器时,会看到一个简单的页面,实际上它已经完成了许多透明的工作,当访问http://localhost:3000,浏览器会向服务器发送请求,包括请求的方法、路径、HTTP协议版本和请求头信…
阅读更多...
node.js模块引擎

node.js模块引擎

一、什么是模版引擎 模版引擎是一个从页面模版根据一定的规则生成HTML的工具,PHP首发,随后出现了ASP、JSP都沿用这个模式,即建立一个HTML页面模版,插入可执行的代码。运行时动态生成HTML。缺点: 页面功能逻辑与页面布局…
阅读更多...
HBase ACL管理 Hbase 权限管理

HBase ACL管理 Hbase 权限管理

场景:hadoop集群已经进行kerberos认证 启动Hbase相关配置Hbase权限分为以下五种:Read(R) : 可以读取给定范围内数据的权限 Write(W) : 可以在给定范围内写数据 Executor(X) : 可以在指定表执行Endpoints类型的协处理 Create(C) : 可以在给定范围内创建和…
阅读更多...
MySql索引的原理

MySql索引的原理

数据库索引,是数据库管理系统中一个排序的数据结构,以协助快速查询、更新数据库表中数据。索引的实现通常使用B树及其变种B树。 在数据之外,数据库系统还维护着满足特定查找算法的数据结构,这些数据结构以某种方式引用&#xff08…
阅读更多...
Hadoop Kerberos 认证下 Sentry 安装 + Sentry 权限设置使用

Hadoop Kerberos 认证下 Sentry 安装 + Sentry 权限设置使用

目录 一、安装Sentry 1.MariaDB中创建sentry数据库 2.CDH中添加sentry 服务 3.hive配置 启动Sentry 4.Impala配置 启动Sentry 5.Hue配置 启动Sentry 6.Hdfs配置 启动Sentry 7.重启服务,使配置生效 二、Sentry权限测试 1.创建hive超…
阅读更多...
mongodb最详细的安装与配置

mongodb最详细的安装与配置

今天晚上才装好,我觉得有必要写这篇文章给你们分享一下 我是看点击打开链接这位博主的文章才装好的其中我想引用里面内容从头到尾来给你们 分享一下流程 第一步:下载mongodb https://www.mongodb.com/download-center#community 第二步:m…
阅读更多...
vue.js安装与配置

vue.js安装与配置

我们在前端学习中,学会了HTML、CSS、JS之后一般会选择学习一些框架,比如Jquery、AngularJs等。这个系列的博文是针对于学习Vue.js的同学展开的。 1.如何简单地使用Vue.js 如同以前我们学过的Jquery一样,我们在程序中使用Vue.js时也可以使用直…
阅读更多...
Hbase WALs(HLog) 文件存储,查看

Hbase WALs(HLog) 文件存储,查看

WALs(HLog) 存储 HLog 存储位置是在,hbase配置目录下WALs目录,默认为 /hbase/WALs 与 /hbase/oldWALs /hbase/WALs : 存储未过期的日志/hbase/oldWALs : 存储已过期的日志 这里先查看WALs日志目录,目录格式为:hostname1 为 …
阅读更多...
Elasticsearch 6.x 下载安装

Elasticsearch 6.x 下载安装

下载ES 下载ES安装包上传至服务器,地址为: https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.1.0.tar.gz 上传完成后解压 tar -zxvf elasticsearch-6.1.0.tar.gz 安装JDK 这里使用jdk8,官网下载安装即可&#xf…
阅读更多...
抽象工厂模式-与-工厂方法模式区别

抽象工厂模式-与-工厂方法模式区别

首先来看看这两者的定义区别: 工厂模式:定义一个用于创建对象的借口,让子类决定实例化哪一个类 抽象工厂模式:为创建一组相关或相互依赖的对象提供一个接口,而且无需指定他们的具体类 个人觉得这个区别在于产品&#x…
阅读更多...
Centos7.x 安装 CDH 6.x

Centos7.x 安装 CDH 6.x

前置条件 ntp服务安装防火墙关闭 执行以下优化代码 systemctl stop firewalld.service echo "* soft nofile 128000" >>/etc/security/limits.conf echo "* hard nofile 128000" >>/etc/security/limits.conf echo "* so…
阅读更多...
Windows IEDA 编译Hbase源码报错 - 无法执行shell脚本

Windows IEDA 编译Hbase源码报错 - 无法执行shell脚本

windows 下编译 hbase源码,报错 [ERROR] Command execution failed. java.io.IOException: Cannot run program "bash" (in directory "D:\File\ideaWorkspace\hbase-1.4.10-src\hbase-1.4.10\hbase-shaded\hbase-shaded-check-invariants\target\…
阅读更多...
最新版 VMware 安装,虚拟机安装, Ubuntu可视化linux系统安装

最新版 VMware 安装,虚拟机安装, Ubuntu可视化linux系统安装

一、下载 地址:https://www.vmware.com/cn.html 二、安装VM 选择相应配置,一直下一步即可 双击打开VMware,输入密钥:CG392-4PX5J-H816Z-HYZNG-PQRG2 Ubuntu 镜像下载地址: https://www.ubuntu.com/download/desktop/…
阅读更多...
Flink 集群搭建安装 CentOS 7.x 版本

Flink 集群搭建安装 CentOS 7.x 版本

基本准备: JDK免密登录(不设置后期启动可以手动输入密码)Centos 7.x 一、下载Flink 下载地址:http://flink.apache.org/downloads.html 我这里使用:https://www.apache.org/dyn/closer.lua/flink/flink-1.9.0/flin…
阅读更多...
web通讯录之登录注册界面

web通讯录之登录注册界面

登录页面: 功能说明:登录页面是在页面模糊背景网站中找的素材加以修改成自己想要的登录界面,我们老师让我们在登录时候加验证码,看了大部分人用的是签名登录方式,觉得没有什么特色因此设计了滑动登录,把验证…
阅读更多...
使用IntelliJ IDEA导入 Flink 消费kafka报错 Error: A JNI error has occurred, please check your installation an

使用IntelliJ IDEA导入 Flink 消费kafka报错 Error: A JNI error has occurred, please check your installation an

提示找不到类,pom中已经引用了jar包,使用eclipse也可以执行,就是IntelliJ不行 java.lang.NoClassDefFoundError: org/apache/flink/api/common/serialization/DeserializationSchemaat java.lang.Class.getDeclaredMethods0(Native Method)a…
阅读更多...
有限状态机/FSM

有限状态机/FSM

有限状态机(FSM)的设计与实现(一) 有限状态机(FSM)是表示有限个状态及在这些状态之间的转移和动作等行为的数学模型,在计算机领域有着广泛的应用。通常FSM包含几个要素:状态的管理、…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023