Kerberos 集成到 CDH6

最新推荐文章于 2023-09-03 08:00:00 发布
最新推荐文章于 2023-09-03 08:00:00 发布
阅读量510 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Kerberos CDH集群安装 文章标签: Kerberos hadoop 大数据 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40341628/article/details/84990148
本文详细介绍了在CentOS系统上安装Kerberos服务的过程,包括配置krb5.conf、创建Kerberos数据库、添加管理账号,以及如何在CDH集群中启用Kerberos,确保数据的安全性和完整性。

开始安装

一、安装之前的注意点

关于AES-256加密:
对于使用 centos5. 6及以上的系统,默认使用 AES-256 来加密的。这就需要集群中的所有节点上安装 http://stackoverflow.com/questions/18754243/securityexception-even-after-replacing-crypto-policy-jars
要下载对应jdk版本的jce 页面直接搜索JCE 然后点进去进行下载文件
JDK8对应的 JCE版本是 jce_policy-8
下载的文件是一个 zip 包,解开后,将里面的两个文件放到下面的目录中:
$JAVA_HOME/jre/lib/security
并用scp的方式复制到集群每个节点
scp local_policy.jar US_export_policy.jar 10.10.2.24:/usr/java/jdk1.8.0_152/jre/lib/security

二、开始安装Kerberos

1、在Cloudera Manager服务器上安装KDC服务

yum -y install krb5-server krb5-libs krb5-auth-dialog krb5-workstation

2、修改/etc/krb5.conf配置
vim  /etc/krb5.conf
下面的配置都打开 ,直接使用默认的例子配置即可  
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
 
 default_realm = HADOOP.COM
# default_ccache_name = KEYRING:persistent:%{uid}

#这边随便起的,可以是多个,但是会造成复杂度上升 与上面default_realm对应     默认即可   主机名:端口
[realms]
 HADOOP.COM = {
  kdc = cdh21:88
  admin_server = cdh21:749
 }

[domain_realm]
 .hadoop.com = HADOOP.COM
 hadoop.com = HADOOP.COM
3、修改/var/kerberos/krb5kdc/kadm5.acl配置 密码更改成与上述 default_realm对应,代表的是以这个为后缀的全部这样管理

[root@chd22]# vim /var/kerberos/krb5kdc/kadm5.acl
*/admin@HADOOP.COM *

4、修改/var/kerberos/krb5kdc/kdc.conf配置
realms与上面要对应
[root@cdh22]# vim /var/kerberos/krb5kdc/kdc.conf
[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
HADOO.COM = {
  #master_key_type = aes256-cts
  max_renewable_life= 7d 0h 0m 0s
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }
5、创建Kerberos数据库 执行的域名就是上面起的 realms 密码设置自己备注下
[root@chd22]# kdb5_util create -s –r HADOOP.COM 
Loading random data
Initializing database '/var/kerberos/krb5kdc/principal' for realm 'HADOOP.COM',
master key name 'K/M@HADOOP.COM'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key: 
Re-enter KDC database master key to verify:
6、.创建Kerberos的管理账号
[root@cdh22]# kadmin.local
Authenticating as principal root/admin@HADOOP.COM with password.
kadmin.local:  addprinc admin/admin@HADOOP.COM
WARNING: no policy specified for admin/admin@HADOOP.COM; defaulting to no policy
Enter password for principal "admin/admin@HADOOP.COM": 密码
Re-enter password for principal "admin/admin@HADOOP.COM": 密码
Principal "admin/admin@HADOOP.COM" created.
kadmin.local:  exit
7、将Kerberos服务添加到自启动服务,并启动krb5kdc和kadmin服务
[root@cdh21]# systemctl enable krb5kdc
Created symlink from /etc/systemd/system/multi-user.target.wants/krb5kdc.service to /usr/lib/systemd/system/krb5kdc.service.
[root@cdh21]# systemctl enable kadmin
Created symlink from /etc/systemd/system/multi-user.target.wants/kadmin.service to /usr/lib/systemd/system/kadmin.service.
[root@cdh21]# systemctl start krb5kdc
[root@cdh21]# systemctl start kadmin
8、测试Kerberos的管理员账号 如果这边错误的话,可以回到上面看看那个步骤错误了,或者realms里面的KDC主机名设置错误
[root@cdh21]# kinit admin/admin@HADOOP.COM
Password for admin/admin@HADOOP.COM: 输入密码
[root@cdh21]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: admin/admin@HADOOP.COM

Valid starting       Expires              Service principal
09/12/2018 12:54:17  09/13/2018 12:54:17  krbtgt/HADOOP.COM@HADOOP.COM
        renew until 09/19/2018 12:54:17
9、为集群安装所有Kerberos客户端,包括Cloudera Manager,每个节点都安装一遍
[root@cdh21]# yum -y install krb5-libs krb5-workstation
10、在Cloudera Manager Server服务器上安装额外的包 主节点
[root@cdh21]# yum -y install openldap-clients
11、将配置好的KDC Server上的krb5.conf文件拷贝到所有Kerberos客户端 这边使用scp 方式
[root@ip-172-31-6-83 shell]# scp /etc/krb5.conf root@10.10.2.22:/etc

三、CDH集群启用Kerberos

1、在KDC中给Cloudera Manager添加管理员账号 这边创建的时候@后面跟的域名,都是在上面设置过的,保证一致
[root@cdh21]# kadmin.local
Authenticating as principal admin/admin@HADOOP.COM with password.
kadmin.local:   addprinc cloudera/admin@HADOOP.COM
WARNING: no policy specified for cloudera/admin@HADOOP.COM; defaulting to no policy
Enter password for principal "cloudera/admin@HADOOP.COM": 
Re-enter password for principal "cloudera/admin@HADOOP.COM": 
Principal "cloudera/admin@HADOOP.COM" created.
kadmin.local:  exit
2、在KDC中给Cloudera Manager添加管理员账号 这边创建的时候@后面跟的域名,都是在上面设置过的,保证一致

在集群安装的时候使用的是root用户,使用root用户初始化下面这个
在整个集群安装的时候使用的 Kerberos 管理用户 cloudera/admin@HADOOP.COM 通过 kinit cloudera/admin@HADOOP.COM 的方式确保 整个集群使用的 默认 的用户管理是这个用户

[root@cdh21]# kadmin.local
Authenticating as principal admin/admin@HADOOP.COM with password.
kadmin.local:   addprinc cloudera/admin@HADOOP.COM
WARNING: no policy specified for cloudera/admin@HADOOP.COM; defaulting to no policy
Enter password for principal "cloudera/admin@HADOOP.COM": 
Re-enter password for principal "cloudera/admin@HADOOP.COM": 
Principal "cloudera/admin@HADOOP.COM" created.
kadmin.local:  exit
3.进入Cloudera Manager的“操作界面,启动Kerberos

在这里插入图片描述

4、确保如下列出的所有检查项都已完成

在这里插入图片描述

5、点击“继续”,配置相关的KDC信息,包括类型、KDC服务器、KDC Realm、加密类型以及待创建的Service Principal(hdfs,yarn,,hbase,hive等)的更新生命期等

在这里插入图片描述

6、不建议让Cloudera Manager来管理krb5.conf, 点击“继续”

在这里插入图片描述

7、输入Cloudera Manager的Kerbers管理员账号,一定得和之前创建的账号一致,点击“继续”

在这里插入图片描述

8、点击“继续”启用Kerberos

在这里插入图片描述

9、Kerberos启用完成,点击“继续”

在这里插入图片描述

10、勾选重启集群,点击“继续”

在这里插入图片描述

11、集群重启完成,点击“继续”

在这里插入图片描述

12、重启完成,安装成功

在这里插入图片描述

CDH6.2.0集成kerberos(已经集成了ldap,sentry)
weixin_38655836的博客
06-12 1675
服务器列表信息: 10.29.200.241 testhadoop-01 10.81.51.210 testhadoop-02 10.81.75.23 testhadoop-03 10.81.66.119 testhadoop-04 10.81.88.137 testhadoop-05 1.在testhadoop-02 服务器上安装KDC服务 yum -y install kr...
CDH6安装kerberos(二)kerberos部署
独孤飞磊
11-30 1033
Kerberos部署 1.系统环境 1)操作系统:CentOS 7.6 2)CDH6.3.2 3)采用root用户进行操作 4)机器列表:(hadoop1.example.com,hadoop2.example.com,hadoop3.example.com) 2.KDC服务安装及配置 选择集群中的一台主机(hadoop1.example.com)作为Kerberos服务端,安装KDC,所有主机都需要部署Kerberos客户端。 1)在服务端主机执行以下安装命令(服务端主机就是KDC) yum instal
0495-如何在CDH6.1中启用Kerberos
Hadoop_SC的博客
01-12 451
1 文档编写目的 在前面的文章中,Fayson介绍了《0491-如何在Redhat7.4安装CDH6.1》,这里我们基于这个环境开始安装KerberosKerberos是一个用于安全认证第三方协议,并不是Hadoop专用,你也可以将其用于其他系统,它采用了传统的共享密钥的方式,实现了在网络环境不一定保证安全的环境下,client和server之间的通信,适用于client/server模型,由M...
Kerberos
zhinen丶的博客
09-06 985
1.简介 许多实际系统使用Kerberos认证协议。Kerberos的基础是Needham-Shroeder协议。Kerberos是在麻省理工学院设计的,使工作站可以安全地利用网络资源。 2.Kerberos工作原理 Kerberos协议涉及四方: 1.Alice:客户工作站。 2.Authentication Server(AS,认证服务器):在登录时认证(验证)用户。 3.Ticket Granting Server(TGS,票据授权服务器):分发票据认证身份证明。 4.Bob:提供旧的服务器,如网络打
chd6.0.1 kerberos安装碰到问题:
sujins5288的博客
12-02 312
1.rsync -av /etc/krb5.conf bigdata-beta3:/etc/krb5.conf bash: rsync: command not found rsync: connection unexpectedly closed (0 bytes received so far) [sender] rsync error: remote command not found...
CDH6.3.2集成tez
最新发布
03-01
### CDH6.3.2集成tez #### 概述 Cloudera Distribution Including Apache Hadoop (CDH) 是一款由 Cloudera 公司提供的企业级大数据平台,它包含了 Hadoop 生态系统中的核心组件和服务。Tez 是一个支持复杂数据处理...
Apache Atlas 2.1.0 集成CDH6.3.2 编译包
06-25
此"Apache Atlas 2.1.0 集成CDH6.3.2 编译包"意味着已经将Apache Atlas与Cloudera Data Hub (CDH) 6.3.2版本进行了整合,使得用户能够在CDH环境中无缝地使用Apache Atlas的功能。 CDH(Cloudera Distribution ...
cdh集群集成kerberos
朱登凯的专栏
06-27 1500
为什么需要kerberos cdh集群搭建好以后,你可能已经成功地入坑了,因为后面还有很多问题,例如,数据安全的问题等。当你的cdh集群搭建好以后,你会发现他是没有任何权限控制的,所有人只要能够访问到你的ip和端口,就能使用你的服务。并且,你的hdfs中的数据更是毫无安全可言,只需要在一个客户端电脑上的hadoop fs命令前面加上sudo -u hdfs,就能够拥有最高权限因为谁都可以是hdf...
CDH配置Kerberos
Johnzhc的博客
07-26 738
# Configuration snippets may be placed in this directory as well includedir /etc/krb5.conf.d/ [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = for_cdh
CDH6集成Kerberos
wangkuangood3200的专栏
09-12 2212
一、概述 本文是针对cloudera大数据集群安全部署整理的文档,主要介绍了大数据集群Kerberos服务器部署和集成的过程。 这篇文章介绍了kerberos配置高可用HA的过程:Kerberos高可用HA配置 二、环境说明 1、主机名 主机名首字母必须为小写,否则在集成kerberos时会出现很多异常问题。 2、hosts文件 /etc/hosts文件中不要包含127.0.0.1的...
【清晰】Kerberos安全体系详解.pdf
07-20
kerberos认证的详解,详细描述了kdc中as与tgs的工作原理
Kerberos权威指南 Kerberos The Definitive Guide
05-23
Kerberos权威指南 ,Kerberos The Definitive Guide。Single sign-on is the holy grail of network administration, and Kerberos is the only game in town. Microsoft, by integrating Kerberos into Active Directory in Windows 2000 and 2003, has extended the large or small. Kerberos makes your network more secure and more convenient for users by providing a single authentication system that works across the entire network. One username; one password; one login is all you need. Fortunately, help for administrators is on the way. This guide shows you how to implement Kerberos for secure authentication. In addition to covering the basic principles behind cryptographic authentication, it covers everything from basic installation to advanced topics like cross-realm authentication, defending against attacks on Kerberos, and troubleshooting. In addition to covering Microsoft's Active Directory implementation, Kerberos: The Definitive Guide covers both major implementations of Kerberos for Unix and Linux: MIT and Heimdal. It shows you how to set up Mac OS X as a Kerberos client. The book also covers both versions of the Kerberos protocol that are still in use: Kerberos 4 (now obsolete) and Kerberos 5, paying special attention to the integration between the different protocols, and between Unix and Windows implementations.
ElasticSearch7.2.1+SearchGuard+Kibana+KerBeros集群测试环境部署文档.pdf
11-16
ElasticSearch7.2.1+SearchGuard+ KerBeros+Kibana 集群测试环境部署文档,全网首发,网上能找到的都没有带上kerberos这种环境的,本文档包含了4大件ElasticSearch、SearchGuard、KerBeros、Kibana,谢谢下载
Kerberos安全框架原理.pdf
10-14
Kerberos安全框架原理.pdf
CDH6.3.2集成Kerberos
热情、奔放、快乐编程!
09-03 1051
参考:https://docs.cloudera.com/documentation/enterprise/6/6.3/topics/cdh_sg_browser_access_kerberos_protected_url.html#topic_6_2__section_vj5_gwv_ls。禁用Kerberos,由于没有按钮可以直接操作,需要我们手动一个个修改开启了Kerberos的组件的配置。1.连接你的集群krb5kdc和kadmin服务所在的机器,复制/etc/krb5.conf中的配置。
CDH集成Kerberos配置
qxf1374268的博客
02-13 6573
转载自 JavaChen Blog,作者:JavaChen 原文链接地址:http://blog.javachen.com/2014/11/04/config-kerberos-in-cdh-hdfs.html 转载自 小黑的博客 原文链接地址:http://www.xiaohei.info/2016/09/01/cdh-install-kerberos-ldap-sentry/...
Kerberos权威指南》中文精读系列:第1章 - 概述
咕噜咕噜大数据
06-06 2025
自己的一点说明: 《Kerberos: The Definitive Guide(Kerberos权威指南)》一书,由O’Reilly出版社于2003年9月5日出版。距今已经过去了17年的时间。查看这本书在外网的评论,非常有意思,在这本书出版的头几年中(2010年之前)的评论数量,反而是少于2010年后的评论数的。曾经Kerberos对于大部分的开发人员来说都是不必关心的东西,很多人甚至都不知道这个东西的存在,通常只有服务器的运维管理人员在配置Active Directory之类的东西时才会接触到;但是随着
Python3(17):3.6/3.8.6 读取配置文件(configparser)
fen_fen的专栏
11-05 815
Python3.6 读取配置文件(configparser)
Kerberos安全体系详解---Kerberos的简单实现
weixin_30411819的博客
05-16 605
1. Kerberos简介 1.1. 功能 一个安全认证协议 用tickets验证 避免本地保存密码和在互联网上传输密码 包含一个可信任的第三方 使用对称加密 客户端与服务器(非KDC)之间能够相互验证 Kerberos只提供一种功能——在网络上安全的完成用户的身份验证。它并不提供授权功能或者审计功能。 1.2. 概念 ...
cdh集成Kerberos
08-25
CDH集成Kerberos是相对容易的,你需要先了解Kerberos的基本概念,然后准备一个可用的Kerberos服务器。在CDH的集群管理界面中选择启用Kerberos,然后按照向导的步骤进行配置即可。集成完成后,你需要进行Kerberos...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值