Mrerlou的博客

服务在更新（添加） ranger 权限时，会有极低的概率导致 MM2 同步服务报错，报错内容。中看到我们的策略确实是已经配置，但是实际上落实到各个服务的策略缓存时发生了丢失。CM ->ranger-> 配置 -> 日志 -> INFO改为 DEBUG。查看修改配置后，ranger 的性能。但是查看 ranger 权限是赋予的，并且很早配置的权限策略也会报错。CM -> 集群 -> Ranger-> 配置 -> 搜索。1.集群 -> Ranger -> 配置 -> 搜索。就是存放我们实际的缓存策略的文件。

最近生产环境中，被安全团队扫描到了 LDAP服务存在未授权访问漏洞。这里记录下如何解决。

大数据集群集成Kerberos 后，很多 WEBUI 打开都会提示输入用户名和密码。这里介绍如何使用 curl 命令行的方式来访问受 Kerberos HTTP SPNEGO 保护的 URL。

使用 Apache Hadoop 的用户通常通过 Kerberos 进行身份验证，如此处所述。第四个命令 KDiag 相对较新，因为它是在 HADOOP-12426 中引入的，并在 Apache Hadoop 2.8.0 中首次发布。此命令将一些其他调试工具合并为一个，并检查常见的与 Kerberos 相关的错误配置。如有必要，它们也可以组合使用。使用正确的日志，可以调试问题并快速解决问题。第一个命令采用用户主体，并将根据配置的hadoop.security.auth_to_local规则返回用户名。

将生成的keytab 文件放到 新建用户 user01 的家目录下。下面演示下如何创建一个kerberos 和 keytab 文件。user01 为用户名。111111 为密码。

在用SUSE 操作系统安装 CM 大数据平台，在集群开启 kerberos 后，使用 HDFS 命令报错如下：环境信息SUSE Linux Enterprise Server 12 Service Pack 1 (SLES 12 SP5)仔细看，在使用 klist 命令时，有个 他指向的路径是： 而在执行 命令时，有个 他指向的路径是 默认是去 目录下找 缓存。然后 SUSE 操作系统下 并不是放在 目录下，导致 客户端认为你没有进行 认证。所以报错。在中，我们增加了下面的参数以后

查看当前服务器票据Valid starting：认证的时间，也就是执行kinit的时间：2019-11-27T14:01:44Expires：失效时间2019-11-28T14:01:44，这个时间是票据当前生命周期的失效时间renew until：票据一个生命周期过后，都会自动刷新一次获得新的票据，直到2019-12-04T14:01:44，每次刷新后Expires都会变化；当然也可以手动刷新手动刷新的话，valid starting和Expires会变，renew until不变其实可以

Kerberos协议：Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务，即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥，使得该协议具有相当的安全性。环境信息：信息版本操作系统centos6.9服务器类型虚拟机CDH5.13节点数量5节点信息：

参考文章：https://blog.youkuaiyun.com/qq_31922231/article/details/98056113并总结了遇到的问题一、环境信息组件版本python2.7cdh5.13kerberostrue二、安装相关包及配置python相关依赖包pip install krbcontext==0.9pip install thrift==0.9.3pip install thrift-sasl==0.2.1pip instal