本文介绍了Kerberos在CDH环境下进行数据开发时的安全配置流程。内容包括启动KDC和Kadmin服务、创建和管理principal、生成keytab文件及进行相关测试等关键步骤。
最近项目组用CDH搭建数据开发环境,有用到Kerberos安全组件。如下是相关命令,请参考:
| 进入kadmin | kadmin.local / kadmin |
| 创建数据库 | kdb5_util create -r HADOOP.COM -s |
| 启动kdc服务 | service krb5kdc start |
| 启动kadmin服务 | service kadmin start |
| 修改当前密码 | kpasswd |
| 测试keytab可用性 | kinit -k -t /home/chen/cwd.keytab chenweidong@HADOOP.COM |
| 查看keytab | klist -e -k -t /home/chen/cwd.keytab |
| 清除缓存 | kdestroy |
| 通过keytab文件认证登录 | kinit -kt /home/chen/cwd.keytab chenweidong@HADOOP.COM |
|
|
|
| kadmin模式下: |
|
| 生成随机key的principal | addprinc -randkey root/master@HADOOP.COM |
| 生成指定key的principal | addprinc -pw **** admin/admin@HADOOP.COM |
| 查看principal | listprincs |
| 修改admin/admin的密码 | cpw -pw xxxx admin/admin |
| 添加/删除principle | addprinc/delprinc admin/admin |
| 直接生成到keytab | ktadd -k /home/chen/cwd.keytab chenweidong@HADOOP.COM xst -norandkey -k /home/chen/cwd.keytab chenweidong@HADOOP.COM |
| 设置密码策略(policy) | addpol -maxlife "90 days" -minlife "75 days" -minlength 8 -minclasses 3 -maxfailure 10 -history 10 user |
| 添加带有密码策略的用户 | addprinc -policy user hello/admin@HADOOP.COM |
| 修改用户的密码策略 | modprinc -policy user1 hello/admin@HADOOP.COM |
| 删除密码策略 | delpol [-force] user |
| 修改密码策略 | modpol -maxlife "90 days" -minlife "75 days" -minlength 8 -minclasses 3 -maxfailure 10 user |
备注:Kerberos 进入amdin 管理模式需要使用 root 用户。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
