HDFS配置Kerberos之创建 CA SSL证书

最新推荐文章于 2025-04-18 19:40:18 发布
最新推荐文章于 2025-04-18 19:40:18 发布
阅读量813 收藏
点赞数 1
分类专栏: Hadoop 测试专栏 文章标签: hadoop Kerberos ssl ca
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sinat_41905822/article/details/127324305
版权

本文主要提供创建ssl证书的过程 其余hdfs配置Kerberos的内容请参考其他文章

配置ssl的原因:在配置hdfs集成Kerberos的时候,standby节点一直起不来 看了log ,原因竟然是hdfs配置了https_only 在同步namenode的元数据时 传不过来,所以必须要有ssl证书的支持 ,配完ssl证书整个流程就通畅了!

假设我们有三台机器 m1 m2 m3

  • 我们在第一台m1的 ~目录执行 下面这句 (替换变量 m1_hostname是第一台机器的namehost)
      openssl req -new -x509 -passout pass:password -keyout bd_ca_key -out bd_ca_cert -days 9999 -subj "/C=CN/ST=beijing/L=beijing/O=m1_hostname/OU=m1_hostname/CN=m1_hostname"

  • 此时会生成两个文件 bd_ca_key 和 bd_ca_cert

  • 然后在第一台执行如下脚本
    作用就是
    1、将 bd_ca_key 和 bd_ca_cert 发到三台机器上
    2、创建一个/var/lib/hadoop-hdfs/ 路径
    3、生成证书
    4、分发证书到指定目录

注意:证书生成的密码我全用的password 如有需要 可以自己替换 并且同步替换 ssl-client.xml和ssl-server.xml里的密码即可,ssl-client.xml和ssl-server.xml在下文有模版

SSHCMD="sshpass -p $MACHINEPASSWORD ssh -o StrictHostKeyChecking=no "
SCPCMD="sshpass -p $MACHINEPASSWORD scp -r -o StrictHostKeyChecking=no "
SSHUSER="root"

for node in $(cat hosts); do
          $SSHCMD ${
   SSHUSER}@${
   node} "sudo mkdir -p /var/lib/hadoop-hdfs/"
          $SSHCMD ${
   SSHUSER}@${
   node} "sudo chown ${SSHUSER} /var/lib/hadoop-hdfs/"
          #将key 和 cert分发到其他机器
          $SCPCMD ~/bd_ca_cert ${
   SSHUSER}@${
   node}:~
          $SCPCMD ~/bd_ca_key ${
   SSHUSER}@${
   node}:~
          #证书生成的六步
          $SSHCMD ${
   SSHUSER}@$node "keytool -keystore keystore -alias localhost -validity 9999 -importpass -keypass password  -importpass -storepass password -genkey -keyalg RSA -keysize 2048 -dname 'CN=${node}, OU=${node}, O=${node}, L=beijing, ST=beijing, C=CN'"
          $SSHCMD ${
   SSHUSER}@$node "keytool -keystore truststore -alias CARoot -importpass -storepass password -noprompt -import -file bd_ca_cert"
          $SSHCMD ${
   SSHUSER}@$node "keytool -importpass -storepass password -certreq -alias localhost -keystore keystore -file cert"
          $SSHCMD ${
   SSHUSER}@$node "openssl x509 -req -CA bd_ca_cert -CAkey bd_ca_key -in cert -out cert_signed -days 9999
最低0.47元/天 解锁文章
linux下3.1.3Hadoophdfs环境详细配置过程
m0_73829637的博客
04-13 1477
移动到该目录下,注意如果是在下可能找不到该目录,需要多执行一步cd /回到根目录cd etc打开里面的hosts文件vi hosts在该文件增加HDFS涉及的所有节点的ip地址和节点名称,例如我的就是:……执行完后记得回到~下。
Hadoop 配置 Kerberos 认证_hadoop kerberos认证
2401_84185182的博客
04-27 711
rw-r–r–. 1 root root 1298 10月 5 17:14 bd_ca_cert。-rw-r–r–. 1 root root 1834 10月 5 17:14 bd_ca_key。
HDFS 集成 Kerberos
mnasd的博客
09-20 2795
本文主要记录 CDH Hadoop 集群上配置 HDFS 集成 Kerberos 的过程,包括 Kerberos 的安装和 Hadoop 相关配置修改说明。注意:下面第一、二部分内容,摘抄自《》,主要是为了对 Hadoop 的认证机制和 Kerberos 认证协议做个简单介绍。
HDFS入门】HDFS安全与权限管理解析:从认证到加密的完整指南
最新发布
IT成长日记的博客
04-18 793
HDFS提供了从身份认证到数据加密的完整安全解决方案。通过合理配置Kerberos、ACL、加密区和审计系统,可以构建符合企业级要求的安全大数据平台。
92.给HttpFS服务配置SSL
大勇若怯任卷舒
01-13 324
92.1 演示环境介绍 CentOS版本:7.2 集群未启用Kerberos 92.2 操作演示 1.KeyStore文件生成 在部署了HttpFS服务的节点上,执行如下命令生成KeyStore文件 需要输入密码和CN CN必须为HttpFS服务所在节点的hostname 执行成功后证书文件默认生成在/var/lib/hadoop-httpfs目录下的 .keystore文件 [root@cdh01 ~]# sudo -u httpfs /usr/java/jdk1.7.0_67-clo
Kerberos安全认证-连载4-大数据技术组件之搭建HDFS HA集群
qq_32020645的博客
06-06 510
目录1. 节点划分2. 安装配置HDFS3. 初始化HDFS4.启动及停止​​​​​​​​​​​​​​5. 访问WebUI技术连载系列,前面内容请参考前面连载3内容:https://blog.youkuaiyun.com/qq_32020645/article/details/131064218这里安装HDFS版本为3.3.4,搭建HDFS对应的角色在各个节点分布如下:节点IP节点名称NNDNZKFCJNRMNM192.168.179.4node1★★★192.168.179.5node2★★★192.168.179.
Kerberos与各大组件的集成
Swordfall的博客
07-23 805
1. 概述   Kerberos可以与CDH集成,CDH里面可以管理与hdfs、yarn、hbase、yarn、kafka等相关组件的kerberos凭证。但当我们不使用CDH的时候,也需要了解hdfs、yarn、hbase和kafka是如何配置关联kerberos的。   该文是建立在Kerberos基本原理、安装部署及用法博客的前提上的,需要首先了解Kerberos的基本原理、安装用...
hdfs配置sasl模式
lovebomei的博客
04-19 6555
因为DataNode数据传输协议不使用Hadoop RPC框架,DataNode必须使用由dfs.datanode.address和dfs.datanode.http.address指定的特权端口进行身份验证。此身份验证基于以下假设:攻击者将无法在DataNode主机上获得root权限。 以root用户身份执行hdfs datanode命令时,服务器进程首先绑定特权端口,然后删除特权并以HADO...
CDH配置Kerberos和Sentry (超详细)
summer089089的博客
07-22 6124
1.安全之Kerberos安全认证 1 Kerberos概述 1.1 什么是Kerberos Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。 Kerberos不是k8s,Kubernetes简称k8s,是一个开源
Hadoop集群安装HTTPS服务
程序猿丶HLK
02-28 1952
安装说明:我是自己搭建的三台虚拟机hadoop01/hadoop02/hadoop03,生成CA证书hdfs_ca_key和hdfs_ca_cert只需要在任意一台节点上完成即可,其他每个节点包括生成证书的节点都需要执行第四步以后的操作,且必须使用root用户执行以下操作: 1.在hadoop01节点生成CA证书,需要输入两次密码,其中CN:中国简称;ST:省份;L:城市;O和OU:公司或个人域...
hadoop2.6安装HUE,配置hdfs,yarn,hive
l-jobs的专栏
04-17 1627
HUE简介:通过使用Hue我们可以在浏览器端的Web控制台上与Hadoop集群进行交互来分析处理数据。简单来讲,就是用图形化的界面来操作HDFS上的数据,运行MapReduce Job,执行Hive的SQL语句,浏览Hbase数据库,oozie,flume等等。网络上单一的教程不足以帮助人安装成功,故写下此篇文章,记录下安装过程。本篇博客资料来源:官网网站:http://gethue.com/官网...
网络安全技术第四章——身份认证技术(身份认证及方式、身份认证三要素、身份认证协议、KERBEROS协议、SSL协议)
热门推荐
ZSWAries的博客
05-30 1万+
为了方便大家观看,我每章都不会很长,因为太长了容易看不下去,我本人耐性就比较差,对那些太长的文章就感觉不是很能看下去,学到的知识也很有限,所以我写的话很长的文章我会尽量避免一下。 身份认证技术身份认证及方式1.概述:2.身份认证的三要素(1)现实生活中:(2)网络中:二、身份认证协议典型的身份认证协议1.KERBEROS协议(1)Kerberos协议概述:(2)Kerberos协议2.SSL协议(1)SSL协议概述:(2)SSL协议主要提供3个方面的安全服务(3)SSL协议的特点: 身份认证及方式 1.概述
Flume使用大全之kafka source-kafka channel-hdfs(SSL加密)
xiaoji88326518的专栏
08-07 1114
agent.sources = kafkaSource1 agent.channels = kafkaChannel agent.sinks = hdfsSink agent.sources.kafkaSource1.channels = kafkaChannel agent.sinks.hdfsSink.channel = kafkaChannel agent.sour
HDFS的加密和访问控制策略
互联网知识分享
07-23 1081
的权限模型由文件和目录的所有者、所有组和其他用户的权限组成。权限模型由文件和目录的所有者、所有组和其他用户的权限组成。数据加密分为客户端加密和服务器端加密,可以确保数据在传输和存储的过程中的安全性。这些命令行工具可以用来设置文件和目录的访问权限,以及修改文件和目录的所有者和所有组。传输加密是指在数据传输的过程中对数据进行加密,防止数据在传输过程中被拦截和篡改。数据加密是指在数据存储的过程中对数据进行加密,防止未经授权的用户访问敏感数据。可以用来设置文件和目录的访问权限,以及修改文件和目录的所有者和所有组。
ssl证书鉴权服务器,SSLKerberos身份验证之间的区别?
weixin_31697021的博客
07-29 863
SSLKerberos身份验证之间的区别?我试图了解SSLKerberos身份验证之间的实际区别是什么,以及为什么有时我同时拥有SSL流量和Kerberos。还是Kerberos以任何方式使用SSL?有人可以帮忙吗?谢谢!7个解决方案32 votes虽然KerberosSSL都是协议,但是Kerberos是身份验证协议,而SSL是加密协议。 Kerberos使用UDP,SSL使用(大部分时间...
Enable HTTPS for HDFS
houzhizhen的专栏
05-11 868
hadoop https配置   在 hadoop1生成ca并拷贝至hadoop2,hadoop2。 (密码随便设置,大于6位即可。如adminadmin) 1 2 3 4 5 6 cd /etc/https openssl req -new -x509 -keyout hdfs_ca_key -out hdfs_...
Kerberos协议认证
weixin_44216796的博客
01-03 735
域环境 由于Kerberos主要是用在域环境下的身份认证协议,所以在说之前先说下域环境的一些概念。首先域的产生为了解决企业内部的资源管理问题,比如一个公司就可以在网络中建立一个域环境,更方便内部的资源管理。在一个域中有域控、域管理员、普通用户、主机等等各种资源。 在下图中YUNYING.LAB为其他两个域的根域,NEWS.YUNYING.LAB 和DEV.YUNYING.LAB均为YUNYING.LAB的子域,这三个域组成了一个域树。子域的概念可以理解为一个集团在不同业务上分公司,他们有业务重合的点并且都属
SSLKerberos身份验证的区别?
打孔员的博客
02-05 1106
SSLKerberos身份验证的区别?
数字证书ssl、sasl(GSSAPI,Kerberos)、jaas简单解释
码农崛起
01-22 3112
数字证书: 由CA(大家都信赖的第三方机构)派发,内容包括: (1).Common Name(证书所有人姓名,简称CN,其实就是证书的名字)    (2).Version(版本,现在一般是V3了)    (3).Issuer(发证机关)    (4).Validity(有效日期)    (5).Subject(证书信息,你会发现它和Issuer里面的内容是一样的)    (6).Subject's Public Key Info(证书所有人的公钥)    (7).Extensio...
hdfs配置kerberos
02-12
### 配置HDFS中的Kerberos认证 #### 准备工作 为了确保Apache Hadoop集群的安全性,Kerberos作为基础安全机制被广泛采用。启用Kerberos之后,用户身份验证成为必要条件[^1]。 #### 安装并配置KDC服务器 首先需要安装和设置一个Key Distribution Center (KDC),这可以是在本地环境中部署MIT KDC或是利用现有的企业级LDAP集成的KDC服务。此过程不在本文讨论范围内,但这是实现Kerberos认证的前提。 #### 创建必要的Principal和服务密钥表(keytabs) 对于每一个运行Hadoop守护进程的服务主机都需要创建相应的principal以及keytab文件用于存储这些principals的秘密信息。例如,在名为`example.com`领域内的namenode principal可能看起来像这样:`nn/fqdn.example.com@EXAMPLE.COM`。同样地也需要为其他节点如datanodes、resourcemanager等创建对应的principal[^4]。 #### 修改核心配置文件 编辑`core-site.xml`, 添加如下属性来指定默认realm和其他一些参数: ```xml <property> <name>hadoop.security.authentication</name> <value>kerberos</value> </property> <property> <name>hadoop.security.authorization</name> <value>true</value> </property> <!-- Specify default realm --> <property> <name>kerberos.server.principal</name> <value>HTTP/_HOST@YOUR-REALM.COM</value> </property> ``` 同时更新`hdfs-site.xml`以包含NameNode 和 DataNodes 的 principals 及其 keytabs的位置: ```xml <configuration> ... <!-- NameNode configuration --> <property> <name>dfs.namenode.kerberos.principal</name> <value>nn/_HOST@YOUR-REALM.COM</value> </property> <property> <name>dfs.namenode.keytab.file</name> <value>/etc/security/keytabs/nn.service.keytab</value> </property> <!-- Secondary NameNode Configuration --> ... <!-- DataNode Configuration --> <property> <name>dfs.datanode.kerberos.principal</name> <value>dn/_HOST@YOUR-REALM.COM</value> </property> <property> <name>dfs.datanode.keytab.file</name> <value>/etc/security/keytabs/dn.service.keytab</value> </property> ... </configuration> ``` 最后一步是分发修改后的XML配置文件到所有的集群成员上[^3]: ```bash scp core-site.xml hdfs-site.xml hadoop@slave01.hadoop:/usr/local/hadoop-2.7.7/etc/hadoop/ ``` 完成上述步骤后重启所有受影响的服务使更改生效即可开始享受更高级别的安全性保护措施带来的好处[^5]。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值