CDH7.1.1启用Kerberos

简介: CDH7.1.1启用Kerberos


Kerberos及其工作原理

Kerberos是认证协议,它假设主机是可信任的,但是网络不是。Kerberos安全涉及三个关键实体:

  • 想要认证自身的用户
  • 用户尝试验证的服务
  • Kerberos安全服务器(密钥分发中心或KDC),受用户和服务信任。KDC存储用户和服务的秘密密钥

Kerberos主要的术语和管理实体:

密钥分发中心(KDC)

KDC是包含加密数据库的Kerberos服务器,存储用户 、主机和服务相关的主题信息。

认证服务(AS)

一旦用户成功地向AS完成了身份验证,AS便会向安全集群中的其他服务认证的客户端授予TGT

TGS

票据验证服务器验证客户端传递的TGT,然后给客户端服务授予票据,以便他们可以访问Hadoop服务。

KeyTab文件

Keytab文件是一个安全文件,其中包含雨中所有服务主体主体的密码。

主节点和客户端安装Kerberos服务

主节点Kerberos服务安装

yum -y install krb5-server krb5-libs krb5-auth-dialog krb5-workstation

修改配置文件/etc/krb5.conf

修改配置文件/var/kerberos/krb5kdc/kadm5.acl

修改配置文件/var/kerberos/krb5kdc/kdc.conf

创建数据库,此处设置密码为123456

kdb5_util create 
-
r CMBCHINA
.
CN 
-
s


添加管理员账号admin/admin,此处密码设置为123456

启动kadmin与kdc,并添加到开机自启动

验证安装成功

安装客户端,每个节点安装

yum 
-
y install krb5
-
libs krb5
-
workstation

同步配置文件到每个节点


.
/batch_scp.sh node.list /
etc
/
krb5
.
conf 
/
etc

添加cloudera-scm/admin用户,密码设置为123456

集群启用Kerberos

登录CM主页,选择“安全”

点击“启用Kerberos”

确保执行完成下列步骤

修改相关配置信息

不通过Cloudera Manager管理krb5.conf文件

输入创建用户的凭据

导入成功

配置Kerberos和DataNode端口

重启集群

Kerberos启用成功


相关文章
|
SQL 分布式计算 资源调度
在CDH7.1.1上为Ranger集成OpenLDAP认证
在CDH7.1.1上为Ranger集成OpenLDAP认证
248 0
|
Web App开发 SQL 资源调度
CDH/CDP中开启kerberos后如何访问HDFS/YARN/HIVESERVER2 等服务的webui
CDH/CDP中开启kerberos后如何访问HDFS/YARN/HIVESERVER2 等服务的webui
|
SQL Java Linux
聊聊 kerberos 的 kinit 命令和 ccache 机制
聊聊 kerberos 的 kinit 命令和 ccache 机制
|
2月前
|
关系型数据库 数据安全/隐私保护
Kerberos常见报错汇总
汇总了Kerberos在配置和使用过程中可能遇到的常见错误,包括密码不匹配、配置文件参数缺失、数据库文件不存在、日志文件路径错误等问题,并为每个问题提供了详细的错误复现、原因分析以及解决方案。
124 3
|
消息中间件 分布式计算 安全
如何禁用Kerberos
如何禁用Kerberos
317 0
|
SQL 关系型数据库 MySQL
Ranger同步ldap组问题
Ranger同步ldap组问题
342 0
|
分布式计算 Hadoop 网络安全
|
机器学习/深度学习 SQL 分布式计算
配置 HDFS-创建 Kerberos 对应的账户设置 Keytab 文件|学习笔记
快速学习配置 HDFS-创建 Kerberos 对应的账户设置 Keytab 文件
|
分布式计算 Hadoop 测试技术
0110-如何给Kerberos环境下的CDH集群添加Gateway节点
Fayson的github: https://github.com/fayson/cdhproject 推荐关注微信公众号:“Hadoop实操”,ID:gh_c4c535955d0f,或者扫描文末二维码。
2185 0