Ambari2.6.2集成Kerberos
发表于:2025-02-03 作者:千家信息网编辑
千家信息网最后更新 2025年02月03日,"坑"说明如果 HDP 版本是 2.6.5、Ambari 版本是 2.6.2.2 ,切记与 Kerberos 集成时,注意一下 Kerberos 的版本。Kerberos 版本一定不能是 1.15.1
千家信息网最后更新 2025年02月03日Ambari2.6.2集成Kerberos
"坑"说明
如果 HDP 版本是 2.6.5、Ambari 版本是 2.6.2.2 ,切记与 Kerberos 集成时,注意一下 Kerberos 的版本。Kerberos 版本一定不能是 1.15.1-18,会受伤的。Kerberos 版本大于 18 这个小版本应该都没有问题,亲测版本 1.15.1-19、1.15.1-34 。这是本篇文章使用的列表:krb5-libs-1.15.1-34.el7.x86_64krb5-server-1.15.1-34.el7.x86_64krb5-workstation-1.15.1-34.el7.x86_64krb5-devel-1.15.1-34.el7.x86_64名词解释
Kerberos: Network Authentication protocol(网络认证协议)KDC: Key Distribution center(密钥分配中心)Kadmin: Kerberos Administrator(Kerberos管理)前言
安装Kerberos之前,需要有配置好的Ambari环境。Ambari安装参见上一篇文章:https://blog.51cto.com/784687488/2329891配置/etc/hosts
[root@ambari-agent01 ~]$ cat /etc/hosts10.0.2.20 ambari-server server.ambari.com10.0.2.21 ambari-agent01 agent01.ambari.com kerberos-auth10.0.2.22 ambari-agent02 agent02.ambari.com安装Kerberos
# 下载 aes256-cts 编码支持组件 JCE(jce_policy-8.zip)yum install krb5-server krb5-libs krb5-workstation -y配置Kerberos Server配置文件
[root@ambari-agent01 ~]$ cat >/etc/krb5.conf<配置KDC配置文件
# 解压 JCE 支持组件至${JRE_HOME}/lib/security/[root@ambari-agent01 ~]$ unzip UnlimitedJCEPolicyJDK7.zip[root@ambari-agent01 ~]$ for n in 20 21 22;do scp local_policy.jar US_export_policy.jar 10.0.2.$n:/opt/jdk/jre/lib/security/;done[root@ambari-agent01 ~]$ cat >/var/kerberos/krb5kdc/kdc.conf<管理帐号 ACL 配置
[root@ambari-agent01 ~]$ cat >/var/kerberos/krb5kdc/kadm5.acl<初始化并创建 Kerberos 数据库
[root@ambari-agent01 ~]$ kdb5_util create -r TEST.COM -sLoading random dataInitializing database '/var/kerberos/krb5kdc/principal' for realm 'TEST.COM',master key name 'K/M@TEST.COM'You will be prompted for the database Master Password.It is important that you NOT FORGET this password.Enter KDC database master key: # 设置密码Re-enter KDC database master key to verify: # 确认密码创建管理帐号 Principal
[root@ambari-agent01 krb5kdc]$ kadmin.local -q "addprinc admin/admin"Authenticating as principal root/admin@TEST.COM with password.WARNING: no policy specified for admin/admin@TEST.COM; defaulting to no policyEnter password for principal "admin/admin@TEST.COM": # 设置管理帐号密码Re-enter password for principal "admin/admin@TEST.COM": # 确认密码Principal "admin/admin@TEST.COM" created.查看 Kerberos 数据库帐号列表
# 个人感觉与 Mysql 查询用户SQL"select user, host from mysql.user;" 差不多[root@ambari-agent01 krb5kdc]$ kadmin.local listprincsK/M@TEST.COMadmin/admin@TEST.COMkadmin/admin@TEST.COMkadmin/ambari-agent01@TEST.COMkadmin/changepw@TEST.COMkiprop/ambari-agent01@TEST.COMkrbtgt/TEST.COM@TEST.COM启动 Kerberos-Server
systemctl start krb5kdc.service启动 Kadmin-Server
systemctl start kadmin.service配置Ambari集成Kerberos,Ambari页面配置
在管理项目中选中Kerberos
开启Kerberos
这个警告不用管,选择'Proceed Anyway'
# 警告:yarn的日志和日志目录将被删除,并将resourcemanager的状态重新格式化为开启或关闭kerberos应用的状态
开始配置Kerberos
配置并测试KDC连通性
配置测试kadmin连通性并继续
# 在 Admin Principal 和 Admin Password 中填入手动创建的管理帐号与帐号密码# 创建的帐号为 admin/admin@TEST.COM,密码为123456在Ambari集群所有节点安装Kerberos Client,并进行Client连接测试
# 测试过程可能会提示session过期,重新输入用户、密码进行认证# 客户端连接命令: kadmin -r TEST.COM -s kerberos-auth:88 -padmin/admin@TEST.COM安装客户端及测试连接成功
# 后面几项配置使用默认就可以了。# 如果有兴趣的话,在 Confirm Configuration (确认配置)这步时可以下载CSV文件看一下,里面有详细的 Ambari 自动创建的各个应用组件连接 Kerberos 认证的 principal 和 keytabs
配置
密码
版本
帐号
管理
测试
认证
文件
组件
凭证
客户
客户端
接口
数据
数据库
日志
状态
用户
应用
支持
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
web服务器安全沙箱
关于网络安全防火墙毕业论文
cs七龙珠怎么创建局域网服务器
软件开发设计师工作好找吗
什么是找不到服务器
培优软件开发哪个公司开发多
数据库安全性控制语句包括
滁州oa管理软件开发哪家好
服务器主板过了自检但会强制关机
假期安全小贴士网络安全控制上网
海淀区技术软件开发包括什么
mc搞笑视频沙雕服务器
四川曙光服务器维修系统虚拟主机
鲲鹏服务器芯片存货
我的世界ec服务器恭贺新春
为什么要报考计算机网络技术
在三线城市做软件开发
ftp目标服务器抓取文件
国产数据库达梦价格
重庆欢聚时刻网络技术限公司
印度软件开发超前于中国
标准服务器的应用
安卓软件开发前端
湖南燃狮互联网科技天眼查
香河网络安全保卫大队电话
培优软件开发哪个公司开发多
公司文件上传本地服务器在哪
广州网和网络技术有限公司
龙芯软件开发25
用云服务器登陆亚马逊安全吗
