Hadoop开启Kerberos安全模式,

基于已经安装好的Hadoop的2.7.1环境,

在此基础上开启Kerberos安全模式。

1.安装规划

已经安装好Hadoop的环境

10.43.159.7 zdh-7

hdfsone/zdh1234

Kerberos服务器

10.43.159.11 zdh-11

kerberos server

2.创建用户的keytab

在zdh-11上,用root用户在/root/keytabs目录下,

创建hdfsone的principal,并导出hdfsone.keytab,

创建HTTP的principal,并导出HTTP.keytab:

kadmin.local

addprinc -randkey hdfsone/zdh-7@ZDH.COM

addprinc -randkey HTTP/zdh-7@ZDH.COM

xst -k hdfsone.keytab hdfsone/zdh-7@ZDH.COM

xst -k HTTP.keytab HTTP/zdh-7@ZDH.COM

exit

3.合并上面2个keytab到hdfsone.keytab

ktutil

rkt hdfsone.keytab

rkt HTTP.keytab

wkt hdfsone.keytab

exit

4.将新生成的hdfsone.keytab拷贝到指定位置

首先在hdfsone上面创建目录/home/hdfsone/hadoop-2.7.1/etc/keytabs,

然后进入到/root/keytabs目录下,执行拷贝:

scp hdfsone.keytab hdfsone@zdh-7:/home/hdfsone/hadoop-2.7.1/etc/keytabs

5.修改keytab权限

chown hdfsone:hadoop hdfsone.keytab

chmod 400 hdfsone.keytab

6.修改core-site.xml文件

<property>

  <name>hadoop.security.authentication</name>

  <value>kerberos</value>

</property>

<property>

  <name>hadoop.security.authorization</name>

  <value>true</value>

</property>

7.修改hdfs-site.xml文件

<property>

  <name>dfs.block.access.token.enable</name>

  <value>true</value>

</property>

<property>

  <name>dfs.datanode.data.dir.perm</name>

  <value>700</value>

</property>

<property>

  <name>dfs.namenode.keytab.file</name>

  <value>/home/hdfsone/hadoop-2.7.1/etc/keytabs/hdfsone.keytab</value>

</property>

<property>

  <name>dfs.namenode.kerberos.principal</name>

  <value>hdfsone/_HOST@ZDH.COM</value>

</property>

<property>

  <name>dfs.namenode.kerberos.https.principal</name>

  <value>HTTP/_HOST@ZDH.COM</value>

</property>

<property>

  <name>dfs.datanode.address</name>

  <value>0.0.0.0:1004</value>

</property>

<property>

  <name>dfs.datanode.http.address</name>

  <value>0.0.0.0:1006</value>

</property>

<property>

  <name>dfs.datanode.keytab.file</name>

  <value>/home/hdfsone/hadoop-2.7.1/etc/keytabs/hdfsone.keytab</value>

</property>

<property>

  <name>dfs.datanode.kerberos.principal</name>

  <value>hdfsone/_HOST@ZDH.COM</value>

</property>

<property>

  <name>dfs.datanode.kerberos.https.principal</name>

  <value>HTTP/_HOST@ZDH.COM</value>

</property>

<property>

  <name>dfs.webhdfs.enabled</name>

  <value>true</value>

</property>

<property>

  <name>dfs.web.authentication.kerberos.principal</name>

  <value>HTTP/_HOST@ZDH.COM</value>

</property>

<property>

  <name>dfs.web.authentication.kerberos.keytab</name>

  <value>/home/hdfsone/hadoop-2.7.1/etc/keytabs/hdfsone.keytab</value>

</property>

注意:hdfs/_HOST@ZDH.COM不用手动修改,hadoop运行是自动替换成hdfs/zdh-7@ZDH.COM

8.启动hadoop

启动NameNode:

start-dfs.sh

开启Kerberos安全模式后,此命令只会启动NamdeNode,

所以还需要再次启动datanode:

/home/hdfsone/hadoop-2.7.1/sbin/hadoop-daemon.sh start datanode

9.问题处理

启动DataNode时发生如下异常:

2018-03-02 17:20:15,261 FATAL org.apache.hadoop.hdfs.server.datanode.DataNode: Exception in secureMain

java.lang.RuntimeException: Cannot start secure DataNode without configuring either privileged resources or SASL RPC data transfer protection and SSL for HTTP.  Using privileged resources in combination with SASL RPC data transfer protection is not supported.

        at org.apache.hadoop.hdfs.server.datanode.DataNode.checkSecureConfig(DataNode.java:1173)

        at org.apache.hadoop.hdfs.server.datanode.DataNode.startDataNode(DataNode.java:1073)

        at org.apache.hadoop.hdfs.server.datanode.DataNode.<init>(DataNode.java:428)

        at org.apache.hadoop.hdfs.server.datanode.DataNode.makeInstance(DataNode.java:2373)

        at org.apache.hadoop.hdfs.server.datanode.DataNode.instantiateDataNode(DataNode.java:2260)

        at org.apache.hadoop.hdfs.server.datanode.DataNode.createDataNode(DataNode.java:2307)

        at org.apache.hadoop.hdfs.server.datanode.DataNode.secureMain(DataNode.java:2484)

        at org.apache.hadoop.hdfs.server.datanode.DataNode.main(DataNode.java:2508)

2018-03-02 17:20:15,264 INFO org.apache.hadoop.util.ExitUtil: Exiting with status 1

2018-03-02 17:20:15,265 INFO org.apache.hadoop.hdfs.server.datanode.DataNode: SHUTDOWN_MSG:

解决办法:

当设置了安全的datanode时,启动datanode需要root权限,需要修改hadoop-env.sh文件.且需要安装jsvc,同时重新下载编译包commons-daemon-1.0.15.jar,并把$HADOOP_HOME/share/hadoop/hdfs/lib下替换掉.

否则报错Cannot start secure DataNode without configuring either privileged resources

9.1.编译安装JSVC

下载解压commons-daemon-1.0.15-src.tar.gz及commons-daemon-1.0.15-bin.tar.gz

操作命令:

wget http://apache.fayea.com//commons/daemon/binaries/commons-daemon-1.0.15-bin.tar.gz

wget http://apache.fayea.com//commons/daemon/source/commons-daemon-1.0.15-src.tar.gz

tar zxvf commons-daemon-1.0.15-src.tar.gz

tar zxvf commons-daemon-1.0.15-bin.tar.gz

编译生成jsvc,并拷贝至指定目录

cd commons-daemon-1.0.15-src/src/native/unix/

./configure

make

cp jsvc /home/hdfs/hadoop-3.0.0-alpha2-SNAPSHOT/libexec/

9.2.拷贝commons-daemon-1.0.15.jar

rm hadoop-3.0.0-alpha2-SNAPSHOT/share/hadoop/hdfs/lib/commons-daemon-*.jar

cp commons-daemon-1.0.15.jar hadoop-3.0.0-alpha2-SNAPSHOT/share/hadoop/hdfs/lib/

9.3.修改hadoop-env.sh文件

vi hadoop-env.sh

export HADOOP_SECURE_DN_USER=hdfs

export JSVC_HOME=/home/hdfs/hadoop-3.0.0-alpha2-SNAPSHOT/libexec

9.4.参考文章:

kerberos-hadoop配置常见问题汇总

Hadoop开启Kerberos安全模式的更多相关文章

  1. Sqoop2开启Kerberos安全模式

    Sqoop2开启Kerberos安全模式, 基于版本sqoop-1.99.7, 在已经安装好的sqoop2环境上配置kerberos. 1.安装规划 10.43.159.9 zdh-9 sqoop2k ...

  2. Ranger-AdminServer安装(开启Kerberos)

    Ranger-AdminServer安装, 同时开启Kerberos安全模式, 基于ranger版本0.7.0. 安装规划 10.43.159.240 zdh-240 10.43.159.245 zd ...

  3. Apache Hadoop配置Kerberos指南

    通常,一个Hadoop集群的安全使用kerberos来进行保障.在启用Kerberos后,需要用户进行身份验证.用户通过验证后可以使用GRANT/REVOKE语句来进行基于角色的访问控制.本文介绍一下 ...

  4. 【原创】大叔经验分享(41)hdfs开启kerberos之后报错Encryption type AES256 CTS mode with HMAC SHA1-96 is not supported/enabled

    hdfs开启kerberos之后,namenode报错,连不上journalnode 2019-03-15 18:54:46,504 WARN org.apache.hadoop.security.U ...

  5. Storm集群安装Version1.0.1开启Kerberos

    Storm集群安装,基于版本1.0.1, 同时开启Kerberos安全认证, 使用apache-storm-1.0.1.tar.gz安装包. 1.安装规划 角色规划 IP/机器名 安装软件 运行进程 ...

  6. Zookeeper集群安装(开启kerberos)

    安装规划 zookeeper集群模式,安装到如下三台机器 10.43.159.237 zdh-237 10.43.159.238 zdh-238 10.43.159.239 zdh-239 Kerbe ...

  7. Zookeeper单机安装(开启kerberos)

    安装规划 zookeeper安装到zdh41上面,单机模式 10.43.159.41 zdh41 ZDH.COM 安装用户 zookeeper/zdh1234 useradd -g hadoop -s ...

  8. hadoop的kerberos认证

    言归正传,介绍过hadoop的simple认证和kerberos后,我们在这一章介绍hadoop的kerberos认证 我们还使用hadoop集群的机器. OS 版本: Centos6.4 Kerbe ...

  9. Hadoop开启后jps显示只有jps

    之前在用Mapreduce写代码时,在DFS Location下的会报一个error,大体的意思就是与主机名相关的错误 然后我就觉得可能时Hadoop开启时出了错误,然后我就重启了Hadoop,jps ...

随机推荐

  1. oracle 预安装命令

     yum install oracle-rdbms-server-11gR2-preinstall-1.0-6.el6 

  2. linux查询健康状态,如何直观的判断你的Linux系统是否健康

    一提到对于查看系统运行的健康状况,可能大多数朋友考虑到的就是查看进程或者打开任务管理器,但是对于应用在真实生产环境中服务器的linux系统来说,以上两种方式都不是***效的查看方式,那么今天就给大家推 ...

  3. react-native环境搭建完后,用genymotion运行出错的处理方法

    以下方法是争对react-native  0.63版本的 出错提示如下: 模拟器点击reload后,如下提示: 找了网上很多方法,很多都是旧版本的bug处理的方法,没有用,后面经过摸索发现,原来原因是 ...

  4. 【C/C++】编码(腾讯)

    假定一种编码的编码范围是a ~ y的25个字母,从1位到4位的编码,如果我们把该编码按字典序排序,形成一个数组如下: a, aa, aaa, aaaa, aaab, aaac, - -, b, ba, ...

  5. Log4j 被曝核弹级漏洞,开发者炸锅了!

    大家好,我是鱼皮,开门见山,知名的开源项目 Apache Log4j 出事了! 2021 年 12 月 9 日,该项目被曝存在 严重安全漏洞 ,攻击者只需要向目标机传入一段特殊代码,就能触发漏洞,自由 ...

  6. pthread_cond_signal与pthread_cond_wait详解

    转:http://blog.chinaunix.net/uid-11572501-id-3456343.html //pthread_cond_signal 只发信号,内部不会解锁,在Linux 线程 ...

  7. Java 数据类型:集合接口Map:HashTable;HashMap;IdentityHashMap;LinkedHashMap;Properties类读取配置文件;SortedMap接口和TreeMap实现类:【线程安全的ConcurrentHashMap】

    Map集合java.util.Map Map用于保存具有映射关系的数据,因此Map集合里保存着两个值,一个是用于保存Map里的key,另外一组值用于保存Map里的value.key和value都可以是 ...

  8. java 数据类型:枚举类enum、对比方法compreTo()、获取名字.name()、获取对应值的枚举类Enum.valueOf()、包含构造方法和抽象方法的enum;实现接口;

    问题引入 为了将某一数据类型的值限定在可选的合理范围内,比如季节只有四个:春夏秋冬. 什么是枚举类 Java5之后新增了enum关键字(他与class,interface关键字地位相同)用来定义枚举类 ...

  9. socket网络编程基础模块

    更多功能 sk = socket.socket(socket.AF_INET,socket.SOCK_STREAM,0) 参数一:地址簇 socket.AF_INET IPv4(默认) socket. ...

  10. Elasticsearch 和 solr 的区别

    背景:它们都是基于Luence搜索服务器基础之上开发的一款优秀高性能的企业级搜索服务器.也都是基于分词技术构建的倒排索引的方式进行查询 开发语言:java 诞生时间: solr  :2004年 es ...