备案控制台
探索云世界
开发者社区 阿里云开发者学堂 文章 正文

配置 HDFS-创建 Kerberos 对应的账户设置 Keytab 文件|学习笔记

2022-11-20 1591
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 快速学习配置 HDFS-创建 Kerberos 对应的账户设置 Keytab 文件

开发者学堂课程【快速掌握 Hadoop 集成 Kerberos 安全技术配置 HDFS-创建 Kerberos 对应的账户设置 Keytab 文件】学习笔记,与课程紧密联系,让用户快速学习知识。

课程地址https://developer.aliyun.com/learning/course/708/detail/12561

配置 HDFS-创建 Kerberos 对应的账户设置 Keytab 文件


内容介绍:

一、添加用户

二、配置 HDFS 相关的 Kerberos 账户

三、创建数据目录


一、添加用户

Groupadd hadoop;useradd hdfs-g hadoop-p hdfs;useradd hive-

-g hadoop-p hive;useradd yarn-g hadoop-yarn;useradd mapred -g hadoop -p mapred

语句已经执行,跑一遍确保没问题,执行,提示创建好。

[root@cdh0~]#groupadd hadoop;useradd hdfs-g hadoo p- phdfs

useradd hive-g hadoop-p hive;useradd yarn-g hadoop-p yarn;us

eradd mapred-g hadoop-p mapred groupadd: group 'hadoop’al

ready exists

useradd: user 'hdfs’ already exists

useradd: user 'hive' already exists

useradd: user 'yarn’ already exists

useradd: user 'mapred’already exists

[root@cdh0 ~]#

ch0 cdh1 cdh2 均执行


二、配置 HDFS 相关的 Kerberos 账户

namenode 指定 nn/cdh0.itcast.cn@ITCAST.CN 账户,如果想要启动namenode 就必须拿到账户对应的车票。

1.在每个节点执行 mkdir /etc/security/keytabs

每个节点创建 mkdir /etc/security/keytabs 文件夹,进行 e

tc/security/keytabs,为空。keytabs 表示免密登录的文件,拿到 keytabs 文件相当于通行证。

[root@cdh0~]#mkdir/etc/security/keytabs

[root@cdh0 ~]#cd /etc/secur

securetty security/

[root@cdh0~]#cd/etc/security/keytabs/

[root@cdh0 keytabs]#11

total 0

执行 kinit 想拿到 test/admin@ITCAST.CN 账户车票,回车需要输入密码才能拿到账户车票。有 keytabs 文件后输入 kinit-kt xxx.keytabs 加账户名,不需要输入密码,keytabs 文件将密码输入。

[root@cdh0 keytabs]#kinit test/admin@ITCAST.CN

Password for test/admin@ITCAST.CN:

[root@cdh0 keytabs]#kinit-kt xxx.keytab test/admin@ITCAST.CN

kinit:Keytable file'xxx.keytab’not found while getting initial credentials

启用 namenode 需要使用 nn/cdh0.it.cast.cn@ITCAST.CN

如果过期需要重新拿车票,没有给免密码的 keytable 文件,需要人工输入密码,人不在电脑前不能输入密码,无法工作。所以需要自动完成工作,设置 keytable 文件,不需要输入密码就能认证账户,此文件至关重要,不能轻易传给他人。

2.配置 cdh0上面运行的服务对应的 Kerberos 账户

进入 admin 管理界面,当前认证 test/admin 账户属于 admin 账户,使用 test/admin@ITCAST.CN 可进入admin 后台。Kadmin 回车,输入密码,进入 Kerberos 的 admin后台。

Default principal:test/admin@ITCAST.CN

Valid starting Expires Service principal

09/27/19 17:43:4609/28/19 17:43:46 krbtgt/ITCAST.CN@ITCAST.C

N

renew until 09/27/19 17:43:46

[root@cdh0 keytabs]# kadmin

Authenticating as principal test/admin@ITCASTCN with password

Password for test/admin@ITCAST.CN:

cdh0 运行 namenode、secondarynamenode、https 相关服务,比如 namenode 浏览器页面需要 https 托管,需要创建三个账户。

创建 namenode 的账户,randkey 不指定密码,系统随机创建密码,输入addprinc -randkey nn/cdh0itcast.cn@ITCAS,回车。

提示账户创建成功

kadmin: addprics -randkeynn/cdh0.itcast.cn@ITCAST.CN

kadmin:Unknown request"addprics".Type "?" for a request list.

kadmin: addprinc -randkeynn/cdh0.itcast.cn@ITCAST.CN

WARNING:no policy specified for nn/cdh0.itcast.cn@ITCAST.CN; de

faulting to no policy

Principal “nn/cdh0.itcast.cn@ITCAST.CN"created.

kadmin: addprinc -randkeynn/cdh0.itcast.cn@ITCAST.CN

创建 secondarynamenode 的账户

输入 addprinc -randkey rm/cdh0.itcast.cn@ITCAST.CN 回车。

kadmin: addprics -randkeyrm/cdh0.itcast.cn@ITCAST.CN

kadmin:Unknown request"addprics".Type "?" for a request list.

kadmin: addprinc -randkeyrm/cdh0.itcast.cn@ITCAST.CN

WARNING:no policy specified for rm/cdh0.itcast.cn@ITCAST.CN; de

faulting to no policy

Principal “rm/cdh0.itcast.cn@ITCAST.CN"created.

kadmin: addprinc -randkeyrm/cdh0.itcast.cn@ITCAST.CN

创建用于 https 服务的相关账户

addprinc -randkey HTTP/cdh0.itcastcnITCAST.CN

kadmin:addprinc-randkeyHTTP/cdh0.itcast.cn@ITCAST.CN

WARNING:nopolicy specified for HTTP/cdh0.itcast.cn@ITC

AST.CN;defaulting to no policy

Principal “HTTP/cdh0.itcast.cn@ITCAST.CN"created.

# 防止启动或者操作的过程中需要输入密码,创建免密登录的 kevtab 文件

# 创建 nn 账户的 keytab

使用 ktadd 命令,指定参数-k,输入 etc/security/keytabs/nn.servic

e.keytab, keytab 对应 nn/cdh0.itcast.cn@ITCAST

.CN 账户,给此账户创建 keytab 文件。回车,没有报错创建成功。

ktadd-k/etc/security/keytabs/nn.service.keytabnn/cdh0.itcast.cn

@ITCAST.CN

# 创建 rm 账户的keytab

ktadd-k/etc/security/keytabs/sn.service keytab rm/cdh0.itcast.cn

@ITCAST.CN

#创建 HTTP 账户的 keytab

创建文件名回车

ktadd-k/etc/security/keytabs/spnego.service keytab HTTP

/cdh0.itcast.cn@ITCAST.CN

退出 admin,在 /etc/security/keytabs 目录下

三个 keytab 创建成功最终得到:

-r--------1root root 406 Sep 27 17:48 nn.service.keytab

-r--------1 root root 406 Sep 27 17:48 rm.service.keytab

-r--------1root root 418 Sep 27 17:48 spnego.service.keytab

设置对应权限,namenode 需要使用 nn,hdfs 账户,为了别的账户可以读取设置权限 chmod 400,400权限是只允许本账户读取,其它用户没有任何权限。

[root@cdh0 keytabs]#chmod 400*

[root@cdh0 keytabs]#11

total 12

-r--------1root root 406 Sep 27 17:48 nn.service.keytab

-r--------1 root root 406 Sep 27 17:48 rm.service.keytab

-r--------1root root 418 Sep 27 17:48 spnego.service.keytab

修改权限后修改所属,nn 属于 hdfs、rm 属于 yarn、spnego 属于 hdfs。

[root@cdh0 keytabs]#chown hdfs:hadoop nn.service.keytab

[root@cdh0 keytabs]#chown yarn:hadoop rm.service.keytab

[root@cdh0 keytabs]#chown hdfs:hadoop spnego.service.keytab

[root@cdh0 keytabs]#11

total 12

r--------1hdfs hadoop 406 Sep 2717:48 nn.service.keytab

r--------1yarn hadoop 406 Sep 27 17:48 rm.service.keytab

r--------1hdfs hadoop 418 Sep 2717:48 spnego.service.keytab

spnego.service.keytab 400有问题,除了 namenode、data

node 使用 http 服务,resourcemanager 也需要读取文件。400权限说明只有 hdfs 账户才能访问文件,yarm、hdfs 都属于 hadoop 组,给组权限。

[root@cdh0 keytabs]#chmod 440 spnego.service keytab

[root@cdh0 keytabs]#11

total 12

r--------1hdfs hadoop 406 Sep 2717:48 nn.service.keytab

r--------1yarn hadoop 406 Sep 27 17:48 rm.service.keytab

r--r------1hdfs hadoop 418 Sep 2717:48 spnego.service.keytab

cdh0 配置完毕,cdh0运行 namenode、resourcemanager、http 三个服务。

3.配置 cdh1和 cdh2

cdh1和 cdh2 作为 hadoop 集群的节点,运行 datanode、nodemanager 服务,http ,datanode、nodemanager 有自己的管理界面,需要三个文件三个账户,执行。

klist 已经注册 test/admin@ITCAST.CN,直接执行 kadmin,输入 admin 密码进入后台。添加账户 addprinc-randkey,指定账户名 dn,randkey 表示随机密码。回车,账户创建完成。

[root@cdh1~]#datanode nodemanager http^c

[root@cdh1 ~]#[root@cdh1 ~]#

[root@cdh1 ~]# klist

Ticket cache: FILE:/tmp/krb5cc_0

Default principal:test/admin@ITCAST.CN

Valid starting Expires Service principal

09/27/19 17:33:52 09/28/1917:33:52 krbtgt/ITCAST.CN@ITCAST.C

N

renew until 09/27/19 17:33:52

[root@cdh1 ~]# kadminAuthenticating as principal test/admin@ITCAST.CN with password.

Password for test/admin@ITCAST.CN:

kadmin: addprinc -randkey dn/WARNING:no policy specified for dn/@ITCAST.CN; defaulting to nopolicy

Principal"dn/@ITCAST.CN"created.

kadmin: addprinc -randkey dn/cdh1.itcast.cn@ITCAST.CNWARNING:no policy specified for dn/cdh1.itcast.cn@ITCAST.CN; defaulting to no policy

Principal"dn/cdh1.itcast.cn@ITCAST.CN"created.nm 回车,http 账户,回车。

kadmin: addprinc -randkeynm/cdh1.itcast.cn@ITCAST.CNWARNING:no policy specified for nm/cdh1.itcast.cn@ITCAST.CN; defaulting to no policy

Principal "nm/cdh1.itcast.cn@ITCAST.CN"created.

kadmin:addprinc-randkeyHTTP/cdh1.itcast.cn@ITCAST.CNWARNING:no policy specified for HTTP/cdh1.itcast.cn@ITCAST.CN:defaulting to no policy

Principal“HTTP/cdh1.itcast.cn@ITCAST.CN"created.

指定 ktadd -k 参数,etc/security/keytabs/dn.service.keyta

bdn/cdh1.itcast.cn@ITCAST.CN 回车

kadmin:ktadd-k/etc/security/keytabs/dn.service.keytabdn/cdh1.i

tcast.cn@ITCAST.CN

nm 对应 keytab 文件

kadmin:ktadd-k/etc/security/keytabs/nm.service.keytabnm/cdh1

.itcast.cn@ITCAST.CN

HTTP 对应文件名

kadmin:ktadd-k/etc/security/keytabs/spnego.service.keytab HTT

P/cdh1.itcast.cn@ITCAST.CN

退出查看 /etc/security/keytabs/

-rw--------1root root 406 Sep 27 17:53 dn.service.keytab

-rw--------1 root root 406 Sep 27 17:53nm.service.keytab

-rw--------1root root 418 Sep 27 17:53 spnego.service.keytab

修改权限400,datanode 改为 hdfs 账户,resourcemanager 改为 yarn 账户,HTTP 改为 hdfs 账户。

[root@cdh1 keytabs]# chmod 400 *

[root@cdh1 keytabs]#11 total 12

-r--------1root root 406 Sep 27 17:53 dn.service.keytab

-r--------1 root root 406 Sep 27 17:53nm.service.keytab

-r--------1root root 418 Sep 27 17:53 spnego.service.keytab

[root@cdh1 keytabs]# chown hdfs:hadoop dn.service.keytab

[root@cdh1 keytabs]# chown yarn:hadoop nm.service.key tab

[root@cdh1 keytabs]# chown hdfs:hadoop spnego.service.key tab

[root@cdh1 keytabs]#11

total 12

r--------1hdfs hadoop 406 Sep 2717:53 dn.service.keytab

r--------1yarn hadoop 406 Sep 27 17:53nm.service.keytab

r--------1hdfs hadoop 418 Sep 2717:53 spnego.service.keytab

spnego 文件 chmod 440,表示主用户可以读取

[root@cdh1 keytabs]# chmod 440 spnego.service.keytab [root@cdh1 keytabs]#11

total 12

r--------1hdfs hadoop 406 Sep 2717:53 dn.service.keytab

r--------1yarn hadoop 406 Sep 27 17:53nm.service.keytab

r--r------1hdfs hadoop 418 Sep 2717:53 spnego.service.keytab

cdh2 机器,操作相同。

有 test 账户可进入 admin 后台,输入 admin 账户密码。

cdh2同样有 datanode,创建 kadmin: addprinc -randkeydn/cdh2.itcast.cn@ITCAST.CN

创建 nm

kadmin: addprinc -randkey nm/cdh2.itcast.cn@ITCAST.CN

创建 HTTP

kadmin:addprinc-randkeyHTTP/cdh2.itcast.cn@ITCAST.CN

添加 ktadd 文件

kadmin:ktadd-k/etc/security/keytabs/dn.service.keytab dn/cdh2.i

tcast.cn@ITCAST.CN

kadmin:ktadd-k/etc/security/keytabs/nm.service.keytab nm/cdh

2.itcast.cn@ITCAST.CN

Kadmin:ktadd-k/etc/security/keytabs/spnego.service.keeytab HTT

P/cdh2.itcast.cn@ITCAST.CN

退出查看 /etc/security/keytabs/

-rw--------1root root 406 Sep 27 17:55 dn.service.keytab

-rw--------1 root root 406 Sep 27 17:55 nm.service.keytab

-rw--------1root root 418 Sep 27 17:55 spnego.service.keytab

修改权限400,datanode 改为 hdfs 账户,resourcemanag

er 改为 yarn 账户,HTTP 改为 hdfs 账户。

[root@cdh2 keytabs]# chmod 400 *

[root@cdh2 keytabs]#11 total 12

-r--------1root root 406 Sep 27 17:55 dn.service.keytab

-r--------1 root root 406 Sep 27 17:55nm.service.keytab

-r--------1root root 418 Sep 27 17:55 spnego.service.keytab

[root@cdh2 keytabs]# chown hdfs:hadoop dn.service.keytab

[root@cdh2 keytabs]# chown yarn:hadoop nm.service.key tab

[root@cdh2 keytabs]# chown hdfs:hadoop spnego.service.key tab

[root@cdh2 keytabs]#11

total 12

r--------1hdfs hadoop 406 Sep 2717:55 dn.service.keytab

r--------1yarn hadoop 406 Sep 27 17:55nm.service.keytab

r--------1hdfs hadoop 418 Sep 2717:55 spnego.service.keytab

HTTP 改为440权限

[root@cdh2 keytabs]# chmod 440 spnego.service.keytab [root@cdh2 keytabs]#11

total 12

r--------1hdfs hadoop 406 Sep 2717:55 dn.service.keytab

r--------1yarn hadoop 406 Sep 27 17:55nm.service.keytab

r--r------1hdfs hadoop 418 Sep 2717:55 spnego.service.keytab


三、创建数据目录

执行,回车

mkdir-p/data/nn;mkdir/data/dn;mkdir/data/nm-local;mkdir/data/nm-log;mkdir /data/mr-history

cd 到 data

[root@cdh0keytabs]#mkdir-p/data/nn;mkdir/data/dn;mkdir/data/nm-local;mkdir/data/nm-log;mkdir/data/mr-history

root@cdh0 keytabs]# cd /

root@cdh0 /]#cd /data/

[root@cdh0 data]# 11

total 20

drwxr-xr-x 2 root root 4096 Sep 27 17:56 dn

drwxr-xr-x 2 root root 4096 Sep 27 17:56 mr-history

drwxr-xr-x 2 root root 4096 Sep 27 17:56 nm-local

drwxr-xr-x 2 root root 4096 Sep 27 17:56 nm-log

drwxr-xr-x 2 root root 4096 Sep 27 17:56 nn

/data/nn:namenode 数据目录

/data/dn:datanode 数据目录

/data/nm-local;/data/nm-log:nodemanager 相关目录

/data/mr-history:mr history 目录

cdh0机器上只需要 nn、history。

复制命令,在 cdh1、cdh2执行。

创建 log 文件:

mkdir -p /bigdata/hadoop-2.6.0-cdh5.14.4/logs/hadoop

mkdir /bigdata/hadoop-2.6.0-cdh5.14.4/logs/yarn

每台机器都执行,路径可根据自己需求修改。

bigdata/hadoop 里有 logs 文件夹创建 yarn,将yarn、hadoop、hdfs 相关日志分离,不在同一个 logs

文章标签:
机器学习/深度学习
分布式计算
SQL
资源调度
数据安全/隐私保护
Hadoop
HIVE
安全
开发者
关键词:
文件存储HDFS版文件
文件存储HDFS版设置
文件存储HDFS版配置
文件存储HDFS版学习笔记
配置文件存储HDFS版
ftw2fzqaoykua
目录
相关文章
Want595
|
6月前
|
分布式计算 Hadoop 大数据
【大数据开发技术】实验05-HDFS目录与文件的创建删除与查询操作
【大数据开发技术】实验05-HDFS目录与文件的创建删除与查询操作
Want595
73 0
Want595
|
6月前
|
分布式计算 Hadoop 大数据
【大数据开发技术】实验04-HDFS文件创建与写入
【大数据开发技术】实验04-HDFS文件创建与写入
Want595
99 0
明哥的IT随笔
|
6月前
|
Web App开发 SQL 资源调度
CDH/CDP中开启kerberos后如何访问HDFS/YARN/HIVESERVER2 等服务的webui
CDH/CDP中开启kerberos后如何访问HDFS/YARN/HIVESERVER2 等服务的webui
明哥的IT随笔
210 0
全栈技术精选
|
7月前
|
存储 分布式计算 负载均衡
Hadoop学习笔记(二)之HDFS
Hadoop学习笔记(二)之HDFS
全栈技术精选
110 0
极客李华
|
3月前
|
存储 分布式计算 Hadoop
HDFS如何处理大文件和小文件的存储和访问?
HDFS如何处理大文件和小文件的存储和访问?
极客李华
46 0
全栈ing小甘
|
8月前
|
存储 分布式计算 安全
分布式文件系统(HDFS产生背景及定义 HDFS优缺点 HDFS体系架构 HDFS文件块大小)
分布式文件系统(HDFS产生背景及定义 HDFS优缺点 HDFS体系架构 HDFS文件块大小)
全栈ing小甘
156 0
Maynor
|
4月前
|
存储 SQL 分布式计算
Hadoop(HDFS+MapReduce+Hive+数仓基础概念)学习笔记(自用)
Hadoop(HDFS+MapReduce+Hive+数仓基础概念)学习笔记(自用)
Maynor
254 0
osc_06552749
|
9月前
|
存储 SQL 分布式计算
HDFS 小文件问题及处理方法【重要】
HDFS 小文件问题及处理方法【重要】
osc_06552749
334 0
这啥名啊
|
4月前
|
存储 机器学习/深度学习 分布式计算
Hadoop学习笔记(HDP)-Part.12 安装HDFS
01 关于HDP 02 核心组件原理 03 资源规划 04 基础环境配置 05 Yum源配置 06 安装OracleJDK 07 安装MySQL 08 部署Ambari集群 09 安装OpenLDAP 10 创建集群 11 安装Kerberos 12 安装HDFS 13 安装Ranger 14 安装YARN+MR 15 安装HIVE 16 安装HBase 17 安装Spark2 18 安装Flink 19 安装Kafka 20 安装Flume
这啥名啊
69 0
Hadoop学习笔记(HDP)-Part.12 安装HDFS
安然AR
|
9月前
|
存储 大数据
大数据数据存储的分布式文件系统的HDFS的基本使用的命令行接口的拷贝/移动文件
在 Hdfs 中,使用命令行接口可以方便地对数据进行操作。
安然AR
49 1

阿里云开发者学堂

热门文章

最新文章

  • 1
    bigdata-07-Hdfs原理到实战
  • 2
    Hadoop【基础知识 05】【HDFS的JavaAPI】(集成及测试)
  • 3
    HDFS的API操作
  • 4
    Hadoop【基础知识 03+04】【Hadoop集群资源管理器yarn】(图片来源于网络)(hadoop fs + hadoop dfs + hdfs dfs 使用举例)
  • 5
    【Hadoop】HDFS 读写流程
  • 6
    Hadoop【基础知识 04】【HDFS常用shell命令】(hadoop fs + hadoop dfs + hdfs dfs 使用举例)
  • 7
    HDFS的常用命令
  • 8
    java管理hdfs文件的常用类小结
  • 9
    世界杯项目案例:HDFS分布式文件系统
  • 10
    客户端向hdfs读写数据流程
  • 1
    分布式文件系统(HDFS)
    37
  • 2
    Sqoop【付诸实践 01】Sqoop1最新版 MySQL与HDFS\Hive\HBase 核心导入导出案例分享+多个WRAN及Exception问题处理(一篇即可学会在日常工作中使用Sqoop)
    89
  • 3
    Flink报错问题之flink-sql写hdfs报错如何解决
    44
  • 4
    HDFS体系结构的局限性
    40
  • 5
    NameNode和DataNode在HDFS中的作用是什么?
    114
  • 6
    Hadoop的Secondary NameNode在HDFS中的作用是什么?
    38
  • 7
    HDFS中的数据一致性是如何保证的?请解释数据一致性的概念和实现方式。
    77
  • 8
    HDFS的数据读取流程是怎样的?请描述数据读取的过程。
    25
  • 9
    HDFS如何处理故障和节点失效?请解释故障恢复机制。
    46
  • 10
    HDFS的数据写入流程是怎样的?请描述数据写入的过程。
    20

    • 相关课程

    更多
  • Hadoop 分布式文件系统 HDFS

    • 相关电子书

    更多
  • 海量数据分布式存储——Apache HDFS之最新进展
  • 基于 Kerberos 的 HBase 安全实战
  • 低代码开发师(初级)实战教程
    • 下一篇
    阿里云oss简介和使用流程