Hadoop HDFS-认证(Kerberos) 简介及入门

最新推荐文章于 2025-09-28 13:49:11 发布
原创 最新推荐文章于 2025-09-28 13:49:11 发布 · 362 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hadoop #hdfs #大数据

作者介绍:简历上没有一个精通的运维工程师。请点击上方的蓝色《运维小路》关注我,下面的思维导图也是预计更新的内容和当前进度(不定时更新)。

图片

中间件,我给它的定义就是为了实现某系业务功能依赖的软件,包括如下部分:

Web服务器

代理服务器

ZooKeeper

Kafka

RabbitMQ

Hadoop HDFS(本章节)

前面我们介绍了HDFS的用户概念,很多的时候就是为了权限控制,但是HDFS超级管理员的本质由配置决定,而非用户本身。手动创建 hdfs 用户不会自动获得超管权限,需同时满足以下条件:

进程启动身份:NameNode 必须由 hdfs 用户启动(关键!)

超级组声明:在 hdfs-site.xml 声明超级组

用户组归属:hdfs用户需在 supergroup 组中

上面的虽然有涉及到多个用户,但是这里的用户简单理解都是匿名的,也就是我可以很容易实现权限替换,在实际比较注重安全的环境中必然是不行的,所以我们今天就来介绍这个更安全的认证方式:Kerberos。

1.Kerberos 简介

Kerberos 是一种网络认证协议,用于在非安全网络中安全地验证用户和服务身份。Hadoop 集群使用 Kerberos 提供强身份认证,防止未授权访问。

核心概念

  • KDC (Key Distribution Center):包含 AS (认证服务) 和 TGS (票据授予服务)

  • Principal:用户或服务的唯一标识(格式:primary/instance@REALM

  • Keytab:存储服务 principal 密钥的文件,用于非交互式认证

2.Kerberos 认证流程

  1. 2.1 用户登录

    • 用户向 AS 请求 TGT,提供密码(或 Keytab)。

    • AS 验证身份后返回加密的 TGT(用用户密钥加密)。

  2. 2.2 获取服务票据

    • 用户向 TGS 发送 TGT 和要访问的服务 Principal(如 hdfs/node1)。

    • TGS 验证 TGT 后返回服务票据(用服务密钥加密)。

  3. 2.3 访问服务

    • 用户向服务(如 HDFS)提交服务票据。

    • 服务用自身密钥解密票据,验证用户身份。

图片

3.Hadoop 集成 Kerberos 

3.1 服务 Principal 注册

  • 每个 Hadoop 组件(NameNode, YARN, HBase 等)需在 KDC 注册服务 Principal。

#当然这里仅作演示 
kadmin -q "addprinc -randkey nn/node1.example.com@HADOOP.COM"  
kadmin -q "addprinc -randkey yarn/node2.example.com@HADOOP.COM"  

3.2 Keytab 分发

为每个服务生成 Keytab 并安全分发到对应主机:

kadmin -q "ktadd -k /etc/security/keytabs/nn.service.keytab nn/node1.example.com@HADOOP.COM"

3.3 配置文件启用 Kerbero

core-site.xml​​​​​​​
<property>
  <name>hadoop.security.authentication</name>
  <value>kerberos</value> <!-- 开启Kerberos -->
</property>
hdfs-site.xml​​​​​​​
<property>
  <name>dfs.namenode.kerberos.principal</name>
  <value>nn/_HOST@HADOOP.COM</value> <!-- 使用_HOST自动匹配主机名 -->
</property>

4.用户认证

用户需先通过 kinit 获取 TG​​​​​​​

kinit alice@HADOOP.COM  # 交互式输入密码
kinit -kt alice.keytab alice@HADOOP.COM  # 非交互式

执行 Hadoop 命令(如 hdfs dfs -ls /)时自动使用票据。

运维小路

一个不会开发的运维!一个要学开发的运维!一个学不会开发的运维!欢迎大家骚扰的运维!

关注微信公众号《运维小路》获取更多内容。

Kerberos安全认证-连载8-Hadoop Kerberos安全配置
qq_32020645的博客
06-07 2246
当使用KerberosHadoop进行数据安全管理时,需要使用LinuxContainerExecutor,该类型Executor只支持在GNU / Linux操作系统上运行,并且可以提供更好的容器级别的安全性控制,例如通过在容器内运行应用程序的用户和组进行身份验证,此外,LinuxContainerExecutor还可以确保容器内的本地文件和目录仅能被应用程序所有者和NodeManager访问,这可以提高系统的安全性。
Kerberos安全认证-连载9-访问Kerberos安全认证Hadoop
qq_32020645的博客
06-10 2132
当keberos客户端安装完成后自动会在C:\ProgramData\MIT\Kerberos5路径中创建krb5.ini配置文件,我们需要配置该文件指定Kerberos服务节点及域信息,配置如下,该文件配置可以参考Kerberos服务端/etc/krb5.conf文件。以上命令执行之后,在/root目录下会生成zhangsan.keytab文件,将该文件复制到IDEA项目中的resources资源目录中或者本地window固定的某个目录中,该文件用于编写代码时认证kerberos
Hadoop 配置 Kerberos 认证_hadoop kerberos认证
2401_84185182的博客
04-27 817
rw-r–r–. 1 root root 1298 10月 5 17:14 bd_ca_cert。-rw-r–r–. 1 root root 1834 10月 5 17:14 bd_ca_key。
Hadoop安全之Kerberos
S1124654的博客
01-30 4063
Hadoop安全之Kerberos
Hadoop 配置 Kerberos 认证
zhy1379的博客
10-15 6947
kinit: Invalid Uid in persistent keyring name while getting default ccache Cannot contact any KDC for realm KrbException: Message stream modified (41) kinit: relocation error: kinit: symbol krb5_get_init_creds_opt_set_pac_request, 提交 spark on yarn
Hadoop HDFS-认证Kerberos) 部署与配置
最新发布
wjianwei666的专栏
09-28 141
本文介绍了Kerberos认证系统的安装配置过程。首先安装krb5-server等核心组件,配置/etc/krb5.conf定义领域、KDC服务器等参数;然后初始化Kerberos数据库并启动相关服务;接着创建管理员账号并设置密码;最后通过配置ACL文件和hosts文件完成基础设置。文中还演示了票据获取和验证流程,并指出Kerberos作为通用认证方案,在Hadoop生态系统中尤为重要,是保护集群安全的标准配置。整个流程包括软件安装、参数配置、数据库初始化、服务管理、权限设置和功能验证等关键步骤。
hadoop插件apache-hadoop-3.1.0-winutils-master.zip
12-17
8. **安全性与认证**:在生产环境中,你可能需要考虑Hadoop的安全性,例如Kerberos认证。虽然Windows环境下的支持可能不如Linux全面,但依然可以通过配置实现。 9. **故障排查**:在Windows上运行Hadoop可能会遇到...
hadoop配置文件详解系列(二)-hdfs-site.xml篇
关于代码的那些事
03-09 2894
上一篇介绍了core-site.xml的配置,本篇继续介绍hdfs-site.xml的配置。 属性名称 属性值 描述 hadoop.hdfs.configuration.version 1 配置文件的版本 dfs.namenode.rpc-address   处理所有客户端请求的RPC地址,若在HA场景中,可能有多个namenode,就把名称ID添加到进来。该属性的格式为nn-host1:rpc-port。 d
03、Kerberos安全认证之配置和访问Kerberos安全认证Hadoop集群学习笔记
每个人都是独一无二的,把握好自己的节奏,跟着自己的心走。
07-11 2625
03、Kerberos安全认证之配置和访问Kerberos安全认证Hadoop集群学习笔记
KerberOS Hadoop 认证安装配置
Jerry的博客
01-26 4601
1. 关闭 selinux vim /etc/sysconfig/selinux 2. 安装 yum 源配置参考 https://blog.youkuaiyun.com/Jerry_991/article/details/118910505 3. 安装 kerberos 的 server 端(一般找一台单独的机器) yum install -y krb5-ibs krb5-server krb5-workstation (查看 yum list | grep krb 中是否有安装软件) ...
Hadoop部署和配置Kerberos安全认证
05-17
Hadoop部署和配置Kerberos安全认证全套流程。已经过实测并部署与生产环境。
Hadoop集成Kerberos安全服务器
qq_43541182的博客
03-16 1785
公司里要给Hadoop配置Kerberos,记录一下过程中遇到的问题。
原生apache hadoop3.3.1集群安装配置Kerberos
h952520296的博客
05-25 2170
安装kerberos可以看一下我另外一篇。下面直接开始配置hadoop部署好了kerberos之后,首先添加用户和生成认证文件在KDC中添加需要认证的用户具体用户看情况而定(hadoop集群主要由hdfs管理,所以除了建hdfs账户还有HTTP账户,另外还有hive、hbase、dwetl也会访问hadoop集群。如有别的用户可用这种方式另行添加,如下图:格式为:用户名/主机hostname@HADOOP.COM。
Hadoop Kerberos 集成
hyunbar的博客
02-10 3356
大数据技术AI Flink/Spark/Hadoop/数仓,数据分析、面试,源码解读等干货学习资料 106篇原创内容 ...
Hadoop】通俗易懂 Kerberos原理
康师傅没有眼泪
05-26 6337
Hadoop 使用Kerberos作为用户和服务的强身份验证和身份传播的基础。Kerberos 是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。Kerberos 是第三方认证机制,其中用户和服务依赖于第三方(Kerberos 服务器)来对彼此进行身份验证。Kerberos服务器本身称为密钥分发中心或 KDC。
安全认证Kerberos详解
Shawn的个人博客
04-16 9774
Kerberos是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。
hadoop集群安装配置Kerberos(三):hadoop集群配置 kerberos 认证
热门推荐
changlina_1989的博客
01-01 1万+
hadoop集群配置kerberos
Hadoop安全认证
m0_52931616的博客
09-05 3423
hadoop安全认证
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值