Hadoop开启Kerberos安全模式

最新推荐文章于 2025-06-27 18:47:07 发布
最新推荐文章于 2025-06-27 18:47:07 发布
阅读量3.3k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/bugzeroman/article/details/84312302
本文详细介绍了在已安装的Hadoop 2.7.1环境中启用Kerberos安全模式的步骤,包括创建和合并keytab,配置XML文件,启动Hadoop服务以及解决启动DataNode时的安全配置问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Hadoop开启Kerberos安全模式,
基于已经安装好的Hadoop的2.7.1环境,
在此基础上开启Kerberos安全模式。

1.安装规划

已经安装好Hadoop的环境
10.43.159.7 zdh-7
hdfsone/zdh1234

Kerberos服务器
10.43.159.11 zdh-11
kerberos server

2.创建用户的keytab

在zdh-11上,用root用户在/root/keytabs目录下,
创建hdfsone的principal,并导出hdfsone.keytab,
创建HTTP的principal,并导出HTTP.keytab:

kadmin.local
addprinc -randkey hdfsone/zdh-7@ZDH.COM
addprinc -randkey HTTP/zdh-7@ZDH.COM
xst -k hdfsone.keytab hdfsone/zdh-7@ZDH.COM
xst -k HTTP.keytab HTTP/zdh-7@ZDH.COM
exit

3.合并上面2个keytab到hdfsone.keytab

ktutil
rkt hdfsone.keytab    
rkt HTTP.keytab
wkt hdfsone.keytab  
exit

4.将新生成的hdfsone.keytab拷贝到指定位置

首先在hdfsone上面创建目录/home/hdfsone/hadoop-2.7.1/etc/keytabs,
然后进入到/root/keytabs目录下,执行拷贝:
scp hdfsone.keytab hdfsone@zdh-7:/home/hdfsone/hadoop-2.7.1/etc/keytabs

5.修改keytab权限

chown hdfsone:hadoop hdfsone.keytab
chmod 400 hdfsone.keytab

6.修改core-site.xml文件

<property>
  <name>hadoop.security.authentication</name>
  <value>kerberos</value>
</property>
<property>
  <name>hadoop.security.authorization</name>
  <value>true</value>
</property>

7.修改hdfs-site.xml文件

<property>
  <name>dfs.block.access.token.enable</name>
  <value>true</value>
</property>
<property>  
  <name>dfs.datanode.data.dir.perm</name>  
  <value>700</value>  
</property>
<property>
  <name>dfs.namenode.keytab.file</name>
  <value>/home/hdfsone/hadoop-2.7.1/etc/keytabs/hdfsone.keytab</value>
</property>
<property>
  <name>dfs.namenode.kerberos.principal</name>
  <value>hdfsone/_HOST@ZDH.COM</value>
</property>
<property>
  <name>dfs.namenode.kerberos.https.principal</name>
  <value>HTTP/_HOST@ZDH.COM</value>
</property>

<property>
  <name>dfs.datanode.address</name>
  <value>0.0.0.0:1004</value>
</property>
<property>
  <name>dfs.datanode.http.address</name>
  <value>0.0.0.0:1006</value>
</property>
<property>
  <name>dfs.datanode.keytab.file</name>
  <value>/home/hdfsone/hadoop-2.7.1/etc/keytabs/hdfsone.keytab</value>
</property>
<property>
  <name>dfs.datanode.kerberos.principal</name>
  <value>hdfsone/_HOST@ZDH.COM</value>
</property>
<property>
  <name>dfs.datanode.kerberos.https.principal</name>
  <value>HTTP/_HOST@ZDH.COM</value>
</property>

<property>
  <name>dfs.webhdfs.enabled</name>
  <value>true</value>
</property>
<property>
  <name>dfs.web.authentication.kerberos.principal</name>
  <value>HTTP/_HOST@ZDH.COM</value>
</property>
<property>
  <name>dfs.web.authentication.kerberos.keytab</name>
  <value>/home/hdfsone/hadoop-2.7.1/etc/keytabs/hdfsone.keytab</value>
</property>

注意:hdfs/_HOST@ZDH.COM不用手动修改,hadoop运行是自动替换成hdfs/zdh-7@ZDH.COM

8.启动hadoop

启动NameNode:
start-dfs.sh
开启Kerberos安全模式后,此命令只会启动NamdeNode,
所以还需要再次启动datanode:
/home/hdfsone/hadoop-2.7.1/sbin/hadoop-daemon.sh start datanode

9.问题处理

启动DataNode时发生如下异常:

2018-03-02 17:20:15,261 FATAL org.apache.hadoop.hdfs.server.datanode.DataNode: Exception in secureMain
java.lang.RuntimeException: Cannot start secure DataNode without configuring either privileged resources or SASL RPC data transfer protection and SSL for HTTP.  Using privileged resources in combination with SASL RPC data transfer protection is not supported.
        at org.apache.hadoop.hdfs.server.datanode.DataNode.checkSecureConfig(DataNode.java:1173)
        at org.apache.hadoop.hdfs.server.datanode.DataNode.startDataNode(DataNode.java:1073)
        at org.apache.hadoop.hdfs.server.datanode.DataNode.<init>(DataNode.java:428)
        at org.apache.hadoop.hdfs.server.datanode.DataNode.makeInstance(DataNode.java:2373)
        at org.apache.hadoop.hdfs.server.datanode.DataNode.instantiateDataNode(DataNode.java:2260)
        at org.apache.hadoop.hdfs.server.datanode.DataNode.createDataNode(DataNode.java:2307)
        at org.apache.hadoop.hdfs.server.datanode.DataNode.secureMain(DataNode.java:2484)
        at org.apache.hadoop.hdfs.server.datanode.DataNode.main(DataNode.java:2508)
2018-03-02 17:20:15,264 INFO org.apache.hadoop.util.ExitUtil: Exiting with status 1
2018-03-02 17:20:15,265 INFO org.apache.hadoop.hdfs.server.datanode.DataNode: SHUTDOWN_MSG:

解决办法:
当设置了安全的datanode时,启动datanode需要root权限,需要修改hadoop-env.sh文件.且需要安装jsvc,同时重新下载编译包commons-daemon-1.0.15.jar,并把$HADOOP_HOME/share/hadoop/hdfs/lib下替换掉.
否则报错Cannot start secure DataNode without configuring either privileged resources

9.1.编译安装JSVC

下载解压commons-daemon-1.0.15-src.tar.gz及commons-daemon-1.0.15-bin.tar.gz
操作命令:

wget http://apache.fayea.com//commons/daemon/binaries/commons-daemon-1.0.15-bin.tar.gz
wget http://apache.fayea.com//commons/daemon/source/commons-daemon-1.0.15-src.tar.gz
tar zxvf commons-daemon-1.0.15-src.tar.gz
tar zxvf commons-daemon-1.0.15-bin.tar.gz

编译生成jsvc,并拷贝至指定目录

cd commons-daemon-1.0.15-src/src/native/unix/
./configure
make
cp jsvc /home/hdfs/hadoop-3.0.0-alpha2-SNAPSHOT/libexec/

9.2.拷贝commons-daemon-1.0.15.jar

rm hadoop-3.0.0-alpha2-SNAPSHOT/share/hadoop/hdfs/lib/commons-daemon-*.jar
cp commons-daemon-1.0.15.jar hadoop-3.0.0-alpha2-SNAPSHOT/share/hadoop/hdfs/lib/

9.3.修改hadoop-env.sh文件

vi hadoop-env.sh
export HADOOP_SECURE_DN_USER=hdfs
export JSVC_HOME=/home/hdfs/hadoop-3.0.0-alpha2-SNAPSHOT/libexec

9.4.参考文章:

kerberos-hadoop配置常见问题汇总

Hive 搭建及开启Kerberos安全模式
gmHappy
08-02 1199
一、前言 完成Hadoop开启Kerberos安全模式,可参照:https://gaoming.blog.youkuaiyun.com/article/details/118958406 二、Hive 安装 2.1 下载 下载地址:https://apache.website-solution.net/hive/ 配置说明:https://cwiki.apache.org/confluence/display/Hive/GettingStarted 2.2 解压及重命名 tar -zxvf /root/apache-h
Hadoop 配置 Kerberos 认证
zhy1379的博客
10-15 6324
kinit: Invalid Uid in persistent keyring name while getting default ccache Cannot contact any KDC for realm KrbException: Message stream modified (41) kinit: relocation error: kinit: symbol krb5_get_init_creds_opt_set_pac_request, 提交 spark on yarn
Kerberos 深入详解:原理、认证流程与应用场景
最新发布
PwnGuo的博客
06-27 1169
Kerberos认证协议在企业大数据平台中的应用 Kerberos是一种基于对称密钥加密的网络身份认证协议,通过可信第三方KDC实现安全认证而不传输明文密码。其核心流程包含三个阶段:用户认证获取TGT票据、获取服务票据以及服务端验证。在企业Hadoop集群中,Kerberos被用于实现统一认证,所有客户端访问HDFS前必须经过完整认证流程,包括NameNode和DataNode在内的服务节点都需要配置专属服务主体和keytab文件。该机制通过KDC作为根信任中心,构建了完整的认证信任链,确保只有获得有效票据
搭建开启keberos的hadoop集群(1)
HJ_tianyaZD的博客
03-30 604
主机名hadoop101hadoop102hadoop103hadoop104IP组件nn1datanodezookeeperrangerdatanodezookeeperdatanodezookeepernn2mysqlKDC。
hadoop 3.X 分布式HA集成Kerbos(保姆级教程)
guofei_ok的博客
06-30 1537
前提:先安装Kerbos。
hadoop2.7.2开启kerberos认证
xiao90713的博客
07-13 4026
环境介绍: 一共三台机器: hadoop11: 192.168.230.11 namenode 、kerberos client hadoop12: 192.168.230.12 datanodekerberos client hadoop13: 192.168.230.13 datanodekerberos server(KDC) 保证安装kerberos 之前能正常开启hadoop集群(已安装集群) 一、介绍安装kerberos服务器 1、在hadoop13安装kerberos se
Hadoop部署和配置Kerberos安全认证
05-17
#### 三、CDH集群开启Kerberos安全认证 1. **通过Cloudera Manager配置Kerberos** Cloudera Manager提供了一个图形化的界面,使得配置Kerberos变得简单易行。通过Cloudera Manager管理Kerberos启用的过程包括: ...
spark-scala代理认证hadoopkerberos.rar
10-11
Spark Scala在Hadoop环境下的Kerberos代理认证是大数据领域中的关键安全机制,它涉及到分布式计算框架的安全性、数据保护以及用户身份验证。Kerberos是一种广泛使用的网络身份验证协议,能够提供强大的安全性,防止...
hadoop】java连接hadoop Kerberos 24小时过期问题
九师兄
02-07 1033
文件,如果配置了高可用,会直接加载高可用的ResourceManager,但是现在情况看起来是,虽然客户端配置了,但是实际运行起来发现,客户端不会自动切换。然后就怀疑是第二个问题,然后我就问对方,kerberos是不是有24小时过期的问题,他们回复是的,于是我就想起来上个公司,我们的程序一般都是带刷新的功能。最近在做hadoop认证,然后认证成功后,一段时间就会报错,排查了一番,发现可能是如下原因。后来验证了一下,发现我们加载了。然后现在好像一直没遇到问题了。
Hadoop集群之开启kerberos安全认证
weixin_39060974的博客
03-07 8151
1.KDC节点 KDC节点上需要安装krb5-server、krb5-libs、krb5-auth-dialog、krb5-workstation服务,Client单独部署在其他节点 yum install krb5-server krb5-libs krb5-auth-dialog krb5-workstation -y 2.Client节点 Client节点上部署krb5-devel、krb5-workstation服务 yum install krb5-devel krb5-workst
Hadoop安全之Kerberos
S1124654的博客
01-30 3960
Hadoop安全之Kerberos
Hadoop 配置 Kerberos 认证_hadoop kerberos认证
2401_84185182的博客
04-27 727
rw-r–r–. 1 root root 1298 10月 5 17:14 bd_ca_cert。-rw-r–r–. 1 root root 1834 10月 5 17:14 bd_ca_key。
原生apache hadoop3.3.1集群安装配置Kerberos
h952520296的博客
05-25 1987
安装kerberos可以看一下我另外一篇。下面直接开始配置hadoop部署好了kerberos之后,首先添加用户和生成认证文件在KDC中添加需要认证的用户具体用户看情况而定(hadoop集群主要由hdfs管理,所以除了建hdfs账户还有HTTP账户,另外还有hive、hbase、dwetl也会访问hadoop集群。如有别的用户可用这种方式另行添加,如下图:格式为:用户名/主机hostname@HADOOP.COM。
最新Hadoop 配置 Kerberos 认证_hadoop kerberos认证,2024年最新阿里三面
2401_84184638的博客
05-08 1347
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化资料的朋友,可以戳这里获取一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长! yarn.log.server.url https://bigdata
Hadoop集成Kerberos安全服务器
qq_43541182的博客
03-16 1680
公司里要给Hadoop配置Kerberos,记录一下过程中遇到的问题。
hdfs-原生hdfs开启kerberos
DCHAO的博客
11-19 553
简介 本文档描述如何在安全模式下配置Hadoop的身份验证。 默认情况下,Hadoop以非安全模式运行,在这种模式下不需要实际的身份验证。通过配置Hadoop安全模式下运行,每个用户和服务都需要通过Kerberos身份验证才能使用Hadoop服务。 Hadoop的安全特性包括身份验证、服务级授权、Web控制台身份验证和数据保密。 认证 终端用户账户 当启用服务级别身份验证时,在安全模式下使用Hadoop的最终用户需要使用Kerberos身份验证。进行身份验证的最简单方法是使用Kerberos的kinit命
[ HDFS 3.1.x ] 开启Kerberos配置&使用
张伯毅的专栏
03-28 6656
.一 .前言1.1. 环境说明1.2. 服务规划二 .安装HDFS2.1. 添加用户2.2. 配置HDFS相关的Kerberos账户2.2.1. 创建keytab存放目录2.2.2. 配置master01上面运行的服务对应的Kerberos账户2.2.3. 权限设置2.2.4. 编译源码构建Linux-Container-executor2.2.5. 设置 hadoop 需要使用的各个目录的权限2.3. 配置hadoop的 lib/native(本地运行库)2.4. 设置 HDFS 的配置文件2.4.2.
HDFS使用Kerberos
热门推荐
一只刚刚上路的猿
02-17 2万+
转载自:http://www.datastart.cn/tech/2016/06/07/kerberos-1.html 本文尝试记录HDFS各服务配置使用kerberos的过程,配置的东西比较多,一定会有疏漏。 我的环境: 三台服务器,分别命名为zelda1、zelda2、zelda3ubuntu 14.04hadoop 2.7.2spark 2.0/1.6.1
Cloudera Search安全配置实战:Kerberos保护大数据搜索
1. **开启Kerberos认证**:首先,确保你的CDH集群已经启用了Kerberos。这通常涉及配置KDC(Key Distribution Center),并为集群中的所有服务和用户创建principal(身份)。 2. **创建用户和principal**:在这个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值