hadoop使用kerberos增加权限验证功能

最新推荐文章于 2023-10-15 19:23:59 发布
最新推荐文章于 2023-10-15 19:23:59 发布
阅读量3.3k 收藏 3
点赞数
分类专栏: apache 文章标签: hadoop kerberos cgroup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/victor_ww/article/details/42424943
版权
本文详细介绍了如何在Hadoop中启用Kerberos进行权限验证,包括停止服务、格式化NameNode和DataNode、配置防火墙、安装KDC服务器、创建并分配keytab文件、修改Hadoop配置、安装cgroup以及验证步骤。确保遵循每个步骤以成功增加权限验证功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >



    1. 更改network中的hostname
      • vim /etc/sysconfig/network

        NETWORKING=yes
        HOSTNAME=nn21021
    2. 更改hosts
      • vim /etc/hosts

        127.0.0.1   localhost
        #::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
        172.17.210.21 nn21021
        172.17.210.22 snn21022
        172.17.210.23 dn21023
        172.17.210.24 dn21024
        172.17.210.25 dn21025
    3. 关闭防火墙(建议:关闭自启动项设置)
      • service iptables status
        service iptables stop
        chkconfig iptables off
    4. 安装免密码登陆功能
    5. 增加用户组、用户
      • groupadd hadoop
        useradd -g hadoop hdfs
        useradd -g hadoop yarn
        useradd -g hadoop mapred
    6. 对应用户增加密码
      • passwd hdfs
        passwd yarn
        passwd mapred
    7. 安装KDC SERVER 
      • yum install krb5-server krb5-libs krb5-auth-dialog krb5-workstation
    8. 安装 krb5-devel、krb5-workstation 
      • yum install krb5-devel krb5-workstation
    9. 修改/etc/krb5.conf
      • vim  /etc/krb5.conf

        [logging]
         default = FILE:/data/logs/krb5/krb5libs.log
         kdc = FILE:/data/logs/krb5/krb5kdc.log
         admin_server = FILE:/data/logs/krb5/kadmind.log
        [libdefaults]
         default_realm = WONHIGH.CN
         dns_lookup_realm = false
         dns_lookup_kdc = false
         ticket_lifetime = 24h
         renew_lifetime = 7d
         forwardable = true
        [realms]
         WONHIGH.CN = {
          kdc = nn21021:88
          admin_server = nn21021:749
         }
        [domain_realm]
         .wonhigh.cn = WONHIGH.CN
         wonhigh.cn = WONHIGH.CN
        [kdc]
          profile=/var/kerberos/krb5kdc/kdc.conf
    10. 修改/var/kerberos/krb5kdc/kdc.conf
      • vim  /var/kerberos/krb5kdc/kdc.conf

        [kdcdefaults]
         kdc_ports = 88
         kdc_tcp_ports = 88
        [realms]
         WONHIGH.CN = {
          #master_key_type = aes256-cts
          acl_file = /var/kerberos/krb5kdc/kadm5.acl
          dict_file = /usr/share/dict/words
          admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
          supported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
         }
    11. 修改/var/kerberos/krb5kdc/kadmin.acl
    12. 增加目录
      • mkdir -p  /data/logs/krb5
        mkdir -p /data/hadoop/hdfs/name
        mkdir -p /data/hadoop/hdfs/data
        mkdir -p /data/hadoop/hdfs/tmp
        mkdir -p /etc/hadoop/conf
    13. 创建数据库 
      • kdb5_util create -r WONHIGH.CN -s
    14. 启动服务 
      • chkconfig --level 35 krb5kdc on
chkconfig --level 35 kadmin on
service krb5kdc start
        service kadmin start
    15. 创建kerberos管理员账户 
      • echo -e "wonhigh@014\nwonhigh@014" | kadmin.local -q "addprinc root/admin"
    16. 抽取秘钥保存至kadm5.keytab中 
      • kadmin.local -q "ktadd -k /var/kerberos/krb5kdc/kadm5.keytab kadmin/admin@WONHIGH.CN"
        kadmin.local -q "ktadd -k /var/kerberos/krb5kdc/kadm5.keytab kadmin/changepw@WONHIGH.CN"
        kadmin.local -q "ktadd -k /var/kerberos/krb5kdc/kadm5.keytab kadmin/nn21021@WONHIGH.CN"
    17. 查看秘钥 
      • klist -k /var/kerberos/krb5kdc/kadm5.keytab
    18. 在kerberos数据库中增加hdfs、http、yarn、mapred用户 
      • kadmin.local -q "addprinc -randkey hdfs/nn21021@WONHIGH.CN"
        kadmin.local -q "addprinc -randkey hdfs/dn21024@WONHIGH.CN"
        kadmin.local -q "addprinc -randkey HTTP/nn21021@WONHIGH.CN"
        kadmin.local -q "addprinc -randkey HTTP/dn21024@WONHIGH.CN"
        kadmin.local -q "addprinc -randkey yarn/nn21021@WONHIGH.CN"
        kadmin.local -q "addprinc -randkey yarn/dn21024@WONHIGH.CN"
        kadmin.local -q "addprinc -randkey mapred/nn21021@WONHIGH.CN"
        kadmin.local -q "addprinc -randkey mapred/dn21024@WONHIGH.CN"
    19. 查看创建的用户 
      • kadmin.local -q "listprincs"
    20. 创建hdfs.keytab文件 
      • cd /var/kerberos/krb5kdc/
        kadmin.local -q "xst  -k hdfs.keytab  hdfs/nn21021@WONHIGH.CN"
        kadmin.local -q "xst  -k hdfs.keytab  hdfs/dn21024@WONHIGH.CN"
        kadmin.local -q "xst  -k hdfs.keytab  HTTP/nn21021@WONHIGH.CN"
        kadmin.local -q "xst  -k hdfs.keytab  HTTP/dn21024@WONHIGH.CN"
    21. 创建yarn.keytab文件 
      • cd /var/kerberos/krb5kdc/
        kadmin.local -q "xst  -k yarn.keytab  yarn/nn21021@WONHIGH.CN"
        kadmin.local -q "xst  -k yarn.keytab  yarn/dn21024@WONHIGH.CN"
    22. 创建mapred.keytab 
      • cd /var/kerberos/krb5kdc/
        kadmin.local -q "xst  -k mapred.keytab  mapred/nn21021@WONHIGH.CN"
        kadmin.local -q "xst  -k mapred.keytab  mapred/dn21024@WONHIGH.CN"
    23. 复制生成的keytab到指定目录并赋予权限 
      • cd /var/kerberos/krb5kdc/
        scp hdfs.keytab yarn.keytab mapred.keytab nn21021:/etc/hadoop/conf
        chown -R hdfs:hadoop  /etc/hadoop/conf/hdfs.keytab
        chown -R yarn:hadoop  /etc/hadoop/conf/yarn.keytab
        chown -R mapred:hadoop  /etc/hadoop/conf/mapred.keytab

        scp hdfs.keytab yarn.keytab mapred.keytab dn21024:/etc/hadoop/conf
        chown -R  hdfs:hadoop /etc/hadoop/conf/hdfs.keyt
最低0.47元/天 解锁文章
Hadoop开启Kerberos安全模式
gmHappy
07-22 1109
一、前言 完成Hadoop集群搭建,可参照:https://gaoming.blog.csdn.net/article/details/118995746 完成Kerberos KDC的搭建,可参照: https://gaoming.blog.csdn.net/article/details/118939810 二、kerberos配置 2.1 新增用户 在kerberos服务器执行以下命令新增用户,对应HDFS集群的3台服务器的默认用户hdfs和http,还有yarn kadmin.local -q "a
Hadoop(2.7.3)安全模式-hadoop kerberos官方配置详解
m1213642578的专栏
09-06 1万+
这篇文档描述了如何为Hadoop在安全模式下配置认证。当Hadoop被配置运行在安全模式下时,每个Hadoop服务和每个用户都必须被Kerberos认证。正向方向的主机去查找所有服务的主机,必须被正确地配置来相互认证。
hadoop 添加kerberos认证
hua840812的专栏
03-21 4120
参考Cloudera官方文档:Configuring Hadoop Security in CDH3 一、部署无kerberos认证的Hadoop环境 参考另一篇笔记:hadoop集群部署 或者按照Cloudera的官方文档:CDH3 Installation Guide. 二、环境说明 1、主机名 之前部署hadoop集群时,没有使
Hadoop安全实践
美团技术团队
03-24 742
前言 在2014年初,我们将线上使用Hadoop 1.0 集群切换到 Hadoop 2.2.0 稳定版, 与此同时部署了 Hadoop 的安全认证。本文主要介绍在 Hadoop 2.2.0 上部署安全认证的方案调研实施以及相应的解决方法。 背景 集群安全措施相对薄弱 最早部署Hadoop集群时并没有考虑安全问题,随着集群的不断扩大, 各部门对集群的使用需求增加,集群安全问题就显...
hadoopkerberos权限配置(ranger基础上)(三)
weixin_40496191的博客
01-02 4545
kerberos+ranger+kerberos权限控制
hadoop_kerberos 配置权限验证.pdf
11-23
在本文中,我们将深入探讨如何配置HadoopKerberos进行权限验证,这对于在企业环境中确保数据安全至关重要。首先,我们需要了解的是Hadoop是分布式计算框架,而Kerberos是一种强大的身份验证服务,用于在网络中提供...
Hadoop Kerberos配置与权限验证指南
"该文件主要介绍了如何在CentOS5.4环境下配置HadoopKerberos进行权限验证的详细步骤,包括系统版本、软件包、安装目录、环境变量设置、Hadoop目录结构以及单机运行Hadoop的配置文件内容。" 在Hadoop生态系统中,...
kerberos+hadoop搭建
04-01
Kerberos 是一个身份验证协议,用于提供安全的身份验证和票据授予机制。Hadoop 是一个大数据处理框架,用于处理和存储大量数据。下面将详细介绍 Kerberos+Hadoop 搭建的过程。 环境准备 在开始搭建 Kerberos+...
Kerberos安全认证-连载8-Hadoop Kerberos安全配置
qq_32020645的博客
06-07 2106
使用KerberosHadoop进行数据安全管理时,需要使用LinuxContainerExecutor,该类型Executor只支持在GNU / Linux操作系统上运行,并且可以提供更好的容器级别的安全性控制,例如通过在容器内运行应用程序的用户和组进行身份验证,此外,LinuxContainerExecutor还可以确保容器内的本地文件和目录仅能被应用程序所有者和NodeManager访问,这可以提高系统的安全性。
Hadoop 配置 Kerberos 认证
最新发布
zhy1379的博客
10-15 5738
kinit: Invalid Uid in persistent keyring name while getting default ccache Cannot contact any KDC for realm KrbException: Message stream modified (41) kinit: relocation error: kinit: symbol krb5_get_init_creds_opt_set_pac_request, 提交 spark on yarn
HDFS配置Kerberos认证
热门推荐
wulantian的专栏
12-26 4万+
HDFS配置Kerberos认证 2014.11.04 本文主要记录 CDH Hadoop 集群上配置 HDFS 集成 Kerberos 的过程,包括 Kerberos 的安装和 Hadoop 相关配置修改说明。 注意: 下面第一、二部分内容,摘抄自《Hadoopkerberos的实践部署》,主要是为了对 Hadoop 的认证机制和 Kerberos 认证协议做个简单
CentOS7.6安装Kerberos
LOYURU的博客
11-17 1334
1、准备三台服务器 kdc 192.168.95.136 Master KDC sever k8sclient1 192.168.95.137 Kerberos client k8sclient2 192.168.95.138 Kerberos client 安装服务端 yum install -y krb5-server krb5-libs krb5-workstation krb5-devel krb5-auth-dialog openldap-clients 配置kdc.conf 默认放在 /va
Hadoop集群之开启kerberos安全认证
weixin_39060974的博客
03-07 8120
1.KDC节点 KDC节点上需要安装krb5-server、krb5-libs、krb5-auth-dialog、krb5-workstation服务,Client单独部署在其他节点 yum install krb5-server krb5-libs krb5-auth-dialog krb5-workstation -y 2.Client节点 Client节点上部署krb5-devel、krb5-workstation服务 yum install krb5-devel krb5-workst
WebHDFS REST API
来啊 快活啊
08-20 5693
Document Conventions Monospaced Used for commands, HTTP request and responses and code blocks. User entered values. [Monospaced] Optional values. When the va
Hadoop学习笔记[3]-HDFS权限验证与客户端开发
unlock的博客
02-05 1694
Hadoop学习笔记[3]-HDFS权限验证与客户端开发   hdfs自身没有用户体系,需要依靠第三方提供。例如LDAP,kerberos,linux系统用户等,但是HDFS和linux一样有超级管理员的概念,linux的超级管理员是root,HDFS的超级管理员是启动NN的用户,比如用hdp01用户启动hdfs,则hdfs的超级用户就是hdp01   虽然HDFS没有用户的概念,但是有自身的权限体系,权限命令和linux差不多,可以赋权给用户或者用户组对应的权限 1、权限相关命令实战 1-1 熟悉几个命令
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值