1、kdc创建principal

1.1、创建认证用户

登陆到kdc服务器,使用root或者可以使用root权限的普通用户操作:

# kadmin.local -q “addprinc -randkey hdfs/yjt”

# kadmin.local -q “addprinc -randkey yarn/yjt”

# kadmin.local -q “addprinc -randkey mapred/yjt”

# kadmin.local -q “addprinc -randkey HTTP/yjt”

注意:我这里只有一台Hadoop节点,如果有多台,上面的操作就要执行多次,其中yjt是Hadoop服务节点的主机名。

下面是写的一个小脚本,不完善,但可以稍微简单的创建认证用户:

#!/bin/bash

KADMINLOCAL=`which kadmin.local`

if [[ $# -lt 2 ]]; then

echo "Usage: " $0 " prinvipal  keytab_File"

exit 2

fi

PRINCIPAL=${@:1:$#-1}

KEYTAB_FILE=${!#}

function addPrincipal(){

for principal in $PRINCIPAL

do

${KADMINLOCAL} -q "addprinc -randkey ${principal}"

done

${KADMINLOCAL} -q "listprincs"

}

KLIST=`which klist`

function addToKeytabFile(){

${KADMINLOCAL} -q "xst -norandkey -k ${KEYTAB_FILE} ${PRINCIPAL}"

$KLIST -kt ${KEYTAB_FILE}

}

addPrincipal

addToKeytabFile

脚本使用方法: 必须至少传入两个参数(不包括$0), 最后一个参数为密钥文件,第一个参数到倒数第二个参数为要创建的认证主体
列如:
./addPrincipal_createKeytab.sh nn/yjt rm/yjt dn/yjt jn/yjt HTTP/yjt nm/yjt mr/yjt hadoop.keytab

1.2、创建keytab文件

# kadmin.local -q “xst  -norankey  -k  /etc/hadoop.keytab hdfs/yjt yarn/yjt mapred/yjt HTTP/yjt”

1.3、拷贝密钥文件

拷贝上述的Hadoop.keytab文件到所有Hadoop集群机器的${HADOOP_HOME}/etc/hadoop目录下面

# scp /etc/hadoop.keytab  hduser@hostname:${HADOOP_HOME}/etc/hadoop

1.4、修改密钥文件权限

修改Hadoop集群上的hadoop.keytab密钥文件权限(所有节点都要修改),例如:

# chown hduser:hadoop ${HADOOP_HOME}/etc/hadoop/hadoop.keytab

#chmod 400 ${HADOOP_HOME}/etc/hadoop/hadoop.keytab

2、配置hdfs kerberos认证

2.1、修改core-site.xml文件

添加如下配置:

<property>

<name>hadoop.security.authentication</name>

<value>kerberos</value>

</property>

<property>

<name>hadoop.security.authorization</name>

<value>true</value>

</property>

<property>

<name>hadoop.security.auth_to_local</name>

<value>

RULE:[2:$1@$0](hdfs@HADOOP.COM)s/.*/hduser/

RULE:[2:$1@$0]([yarn@HADOOP.COM)s/.*/hduser/

RULE:[2:$1@$0](mapred@HADOOP.COM)s/.*/hduser/

RULE:[2:$1@$0](hive@HADOOP.COM)s/.*/hduser/

RULE:[2:$1@$0](hbase@HADOOP.COM)s/.*/hduser/

DEFAULT

</value>

</property>

参数解析:

hadoop.security.authorization: 是否开启认证

hadoop.security.authentication:当开启认证以后,使用什么样的方式认证

hadoop.security.auth_to_local: kerberos认证用户映射到本地文件系统下的什么用户。

2.2、配置hdfs-site.xml文件

添加如下配置:

<!-- NameNode Kerberos Config-->

<property>

<name>dfs.block.access.token.enable</name>

<value>true</value>

</property>

<property>

<name>dfs.namenode.kerberos.principal</name>

<value>hdfs/_HOST@HADOOP.COM</value>

</property>

<property>

<name>dfs.namenode.keytab.file</name>

<value>/data1/hadoop/hadoop/etc/hadoop/hadoop.keytab</value>

</property>

<property>

<name>dfs.https.port</name>

<value>50470</value>

</property>

<property>

<name>dfs.https.address</name>

<value>0.0.0.0:50470</value>

</property>

<property>

<name>dfs.namenode.kerberos.https.principal</name>

<value>HTTP/_HOST@HADOOP.COM</value>

</property>

<property>

<name>dfs.namenode.kerberos.internal.spnego.principal</name>

<value>HTTP/_HOST@HADOOP.COM</value>

</property>

<!-- JournalNode Kerberos Config -->

<property>

<name>dfs.journalnode.kerberos.principal</name>

<value>hdfs/_HOST@HADOOP.COM</value>

</property>

<property>

<name>dfs.journalnode.keytab.file</name>

<value>/data1/hadoop/hadoop/etc/hadoop/hadoop.keytab</value>

</property>

<!-- DataNode Kerberos Config -->

<property>

<name>dfs.datanode.data.dir.perm</name>

<value>700</value>

</property>

<property>

<name>dfs.datanode.kerberos.principal</name>

<value>hdfs/_HOST@HADOOP.COM</value>

</property>

<property>

<name>dfs.datanode.keytab.file</name>

<value>/data1/hadoop/hadoop/etc/hadoop/hadoop.keytab</value>

</property>

<!-- DataNode SASL Config -->

<property>

<name>dfs.datanode.address</name>

<value>0.0.0.0:61004</value>

</property>

<property>

<name>dfs.datanode.http.address</name>

<value>0.0.0.0:61006</value>

</property>

<property>

<name>dfs.http.policy</name>

<value>HTTPS_ONLY</value>

</property>

<property>

<name>dfs.data.transfer.protection</name>

<value>integrity</value>

</property>

<property>

<name>dfs.web.authentication.kerberos.principal</name>

<value>HTTP/_HOST@HADOOP.COM</value>

</property>

<property>

<name>dfs.web.authentication.kerberos.keytab</name>

<value>/data1/hadoop/hadoop/etc/hadoop/hadoop.keytab</value>

</property>

<property>

<name>dfs.secondary.namenode.kerberos.internal.spnego.principal</name>

<value>${dfs.web.authentication.kerberos.principal}</value>

</property>

<!--SecondaryNamenode Kerberos Config-->

<property>

<name>dfs.secondary.namenode.kerberos.principal</name>

<value>hdfs/_HOST@HADOOP.COM</value>

</property>

<property>

<name>dfs.secondary.namenode.keytab.file</name>

<value>/data1/hadoop/hadoop/etc/hadoop/hadoop.keytab</value>

</property>

参数解析:

dfs.block.access.token.enable: 开启数据节点访问检查

dfs.namenode.kerberos.principal: namenode 服务认证主体,变量_HOST在实际中会替换成节点对应的主机名
dfs.namenode.keytab.file: 密钥文件
dfs.https.port:用于hsftp和swebhdf文件系统的https端口。也就是安全访问端口
dfs.namenode.kerberos.https.principal: (猜测是用于namenode web服务的认证主体,在官网没找到这个属性)
dfs.namenode.kerberos.internal.spnego.principal: 默认值${dfs.web.authentication.kerberos.principal}, 用于web ui spnego身份验证的服务器主体
dfs.datanode.data.dir.perm: 数据目录的权限,默认就是700
dfs.datanode.address: 用于传输数据的端口,如果配置了特权端口(小于1024),在启动datanode的时候需要以root启动,同时还还得配置Hadoop环境变量和其他的配置,比较麻烦
dfs.datanode.http.address:同上,如果是非特权端口,则可以配置sasl方式进行数据的传输(Hadoop版本需要在2.6以上)
dfs.http.policy: 协议类型,默认是HTTP_ONLY, 可选值:HTTP_AND_HTTPS, HHTPS_ONLY(ssl支持)
dfs.web.authentication.kerberos.principal: web认证

2.3、配置sasl

如果dfs.datanode.address和 dfs.datanode.http.address的端口号被设置成特权端口(小于1024),那么,在后面启动datanode节点时候,需要先使用root启动,并且还需要编译安装jsvc,以及修改hadoop-env.sh环境变量文件中HADOOP_SECURE_DN_USER值为集群的用户,比较麻烦,不推荐这种方法。

使用如下的方法比较简单:

dfs.datanode.address和 dfs.datanode.http.address的端口号改成非特权端口,在kdc服务器执行

# openssl req -new -x509 -keyout test_ca_key -out test_ca_cert -days 9999 -subj '/C=CN/ST=China/L=Beijin/O=hduser/OU=security/CN=hadoop.com'

上述主要是用于生成根证书文件,把生成的文件拷贝到集群

# scp *   集群节点ip:/data1/hadoop/keystore

接下来在每台集群节点操作如下步骤:

# keytool -keystore keystore -alias localhost -validity 9999 -genkey -keyalg RSA -keysize 2048 -dname "CN=hadoop.com, OU=test, O=test, L=Beijing, ST=China, C=cn"

# keytool -keystore truststore -alias CARoot -import -file test_ca_cert

keytool -certreq -alias localhost -keystore keystore -file cert

# openssl x509 -req -CA test_ca_cert -CAkey test_ca_key -in cert -out cert_signed -days 9999 -CAcreateserial -passin pass:123456

# keytool -keystore keystore -alias CARoot -import -file test_ca_cert

# keytool -keystore keystore -alias localhost -import -file cert_signed

上述的所有命令在需要输入密码的时候最好统一,我这里做测试就设置的简单了,比如123456

2.5、修改ssl-server.xml文件

# cd ${HADOOP_HOME}/etc/hadoop/

# cp ssl-server.xml.examples ssl-server.xml

修改ssl.server.xml文件,改成如下:

<configuration>

<property>

<name>ssl.server.keystore.location</name>

<value>/data1/hadoop/keystore/keystore</value>

</property>

<property>

<name>ssl.server.keystore.password</name>

<value>123456</value>

</property>

<property>

<name>ssl.server.truststore.location</name>

<value>/data1/hadoop/keystore/truststore</value>

</property>

<property>

<name>ssl.server.truststore.password</name>

<value>123456</value>

</property>

<property>

<name>ssl.server.keystore.keypassword</name>

<value>123456</value>

</property>

<property>

<name>ssl.server.exclude.cipher.list</name>

<value>TLS_ECDHE_RSA_WITH_RC4_128_SHA,SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA,

SSL_RSA_WITH_DES_CBC_SHA,SSL_DHE_RSA_WITH_DES_CBC_SHA,

SSL_RSA_EXPORT_WITH_RC4_40_MD5,SSL_RSA_EXPORT_WITH_DES40_CBC_SHA,

SSL_RSA_WITH_RC4_128_MD5</value>

<description>Optional. The weak security cipher suites that you want excluded

from SSL communication.</description>

</property>

</configuration>

2.6、修改ssl-client.xml文件

# cd ${HADOOP_HOME}/etc/hadoop/

# cp ssl-client.xml.examples ssl-client.xml

改成如下值:

<configuration>

<property>

<name>ssl.client.keystore.location</name>

<value>/data1/hadoop/keystore/keystore</value>

</property>

<property>

<name>ssl.client.keystore.password</name>

<value>123456</value>

</property>

<property>

<name>ssl.client.truststore.location</name>

<value>/data1/hadoop/keystore/truststore</value>

</property>

<property>

<name>ssl.client.truststore.password</name>

<value>123456</value>

</property>

<property>

<name>ssl.client.keystore.keypassword</name>

<value>123456</value>

</property>

</configuration>

2.7、客户端测试

(1) 、首先从Hadoop集群拷贝一份Hadoop配置到客户端

# scp -r ${HADOOP_HOME} client_ip:/data1/hadoop

(2) 、在kdc服务器创建认证用户test/yjt,并生成密钥文件,然后拷贝到客户端,修改权限。

# kadmin.local -q “addprinc -randkey test/yjt”

# kadmin.local -q “xst -norandkey -k test.keytab test/yjt”

# scp test.keytab    client_ip:/data1/               #这个目录随意,但最好放在一个安全的地方

# chown test:test test.keytab

(3) 、执行 hadoop fs -ls / 查看是否可以获取集群的信息

结果输出如下:

ls: Failed on local exception: java.io.IOException: javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)]; Host Details : local host is: "localhost/127.0.0.1"; destination host is: "yjt":9000;

上述信息说的就是获取信息的时候,没有通过认证,说白了就是没有获取到Kerberos认证用户,导致访问失败。

(4) 、获取票据

# kinit -kt test.keytab test/yjt

使用klist查看刚才获取的剽据,如果能查看到,说明票据获取成功,接着在使用hadoop fs -ls /获取信息,不出意外,现在可以获取到信息了。

(5) 、如何在Hadoop集群上进行增删改操作?

想要使用非hadoop集群的用户在集群进行数据的改变操作,需要acl对目录或者文件授予相对应的权限才可以。

这里做一个测试,测试普通用户只能在自己的家目录进行增删改操作,对其他目录或者权限只有读取的权限。

列如:

l 在Hadoop集群创建一个目录。比如/user/yjt,这个目录的权限被授予yjt权限,

# hadoop fs -chown yjt:yjt /user/yjt

# hadoop fs -setfacl -m user:yjt:rwx /user

接下来在客户端操作:

l Hadoop fs -touch /user/yjt/file   #添加操作,正常可以创建

l Hadoop fs -rm /user/yjt/file     #删除操作,正常可以删除

在Hadoop集群创建一个file2

客户端删除file2,看是否可以成功

l Hadoop fs -rm /file2

Permission denied: user=yjt, access=WRITE, inode="/":hduser:supergroup:drwxr-xr-x

发现是不能操作的。

3、配置yarn kerberos 认证

3.1、修改yarn-site.xml文件

添加如下配置:

<!--kerberos 配置-->

<!--配置resourcemanager认证用户-->

<property>

<name>yarn.resourcemanager.principal</name>

<value>rm/_HOST@HADOOP.COM</value>

</property>

<!--配置resourcemanager密钥表-->

<property>

<name>yarn.resourcemanager.keytab</name>

<value>/data1/hadoop/hadoop/etc/hadoop/hadoop.keytab</value>

</property>

<!--配置nodemanager 认证用户-->

<property>

<name>yarn.nodemanager.principal</name>

<value>nm/_HOST@HADOOP.COM</value>

</property>

<!--配置nodemanager密钥表-->

<property>

<name>yarn.nodemanager.keytab</name>

<value>/data1/hadoop/hadoop/etc/hadoop/hadoop.keytab</value>

</property>

<property>

<name>yarn.resourcemanager.webapp.spnego-principal</name>

<value>HTTP/_HOST@HADOOP.COM</value>

</property>

<property>

<name>yarn.resourcemanager.webapp.spnego-keytab-file</name>

<value>/data1/hadoop/hadoop/etc/hadoop/hadoop.keytab</value>

</property>

3.2、修改mapred-site.xml

添加如下配置:

<!--配置jobhistory 认证用户-->

<property>

<name>mapreduce.jobhistory.principal</name>

<value>mr/_HOST@HADOOP.COM</value>

</property>

<!--配置jobhistory密钥表-->

<property>

<name>mapreduce.jobhistory.keytab</name>

<value>/data1/hadoop/hadoop/etc/hadoop/hadoop.keytab</value>

</property>

3.3、客户端跑wordcount测试

创建yujt用户测试

# useradd yujt

# echo ‘123456’ |passwd --stdin ‘yujt’

切换到hduser操作

$ hadoop chmod  -R 777 /tmp

$ touch test.txt;echo “1\n2\n2” > test.txt

$ hadoop fs -mkdir /user/yujt

$ hadoop fs -put test.txt /user/yujt

$ hadoop chown -R yujt:yujt /user/yujt

切换到yujt用户

$ hadoop jar /data1/hadoop/hadoop/share/hadoop/mapreduce/hadoop-mapreduce-examples-2.9.2.jar wordcount /user/yujt/text.txt /user/yujt/out1

hdfs、yarn集成kerberos的更多相关文章

  1. kerberos系列之hdfs&yarn认证配置

    一.安装hadoop 1.解压安装包重命名安装目录 [root@cluster2_host1 data]# tar -zxvf hadoop-2.7.1.tar.gz -C /usr/local/ [ ...

  2. HDP安全之集成kerberos/LDAP、ranger(knox自带LDAP)

    ----------------------目录导航见左上角------------------------------- 环境 HDP 3.0.1.0 (已有) JDK   1.8.0_91 (已有 ...

  3. Ambari集成Kerberos报错汇总

    Ambari集成Kerberos报错汇总 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.查看报错的配置信息步骤 1>.点击Test Kerberos Client,查看相 ...

  4. 2.安装hdfs yarn

    下载hadoop压缩包设置hadoop环境变量设置hdfs环境变量设置yarn环境变量设置mapreduce环境变量修改hadoop配置设置core-site.xml设置hdfs-site.xml设置 ...

  5. Hue联合(hdfs yarn hive) 后续......................

    1.启动hdfs,yarn start-all.sh 2.启动hive $ bin/hive $ bin/hive --service metastore & $ bin/hive --ser ...

  6. presto集成kerberos以及访问集成了kerberos的hive集群

    1.创建主体 注: 192.168.0.230 为单节点集群 192.168.4.50为kdc服务器 192.168.0.9为客户端 1.1.Kdc服务器创建主体 # kadmin.local -q ...

  7. hdfs、yarn集成ranger

    一.安装hdfs插件 从源码安装ranger的服务器上拷贝hdfs的插件到你需要安装的地方 1.解压安装 # tar zxvf ranger-2.1.0-hdfs-plugin.tar.gz -C / ...

  8. 挖坑:hive集成kerberos

    集成hive+kerberos前,hadoop已经支持kerberos,所以基础安装略去: https://www.cnblogs.com/garfieldcgf/p/10077331.html 直接 ...

  9. zookeeper、hbase集成kerberos

    1.KDC创建principal 1.1.创建认证用户 登陆到kdc服务器,使用root或者可以使用root权限的普通用户操作: # kadmin.local -q “addprinc -randke ...

随机推荐

  1. Kubernetes Storage Persistent Volumes

    链接:https://kubernetes.io/docs/concepts/storage/persistent-volumes/ 支持的参数,比如mountOptions在这里可以找到 删除正在被 ...

  2. shell编程必须要掌握的命令-xargs

    一,说xargs命令前,说一下什么是shell编程 什么是shell编程呢,说白了就是按一定的规则把各种命令组织起来,完成一定的事情.纯属个人理解,哈哈.不管是交互式的shell,还是非交互的shel ...

  3. Matlab观察者模式

    要点: 1.服务端(Subject)维护一个观察者的列表,以便能够向所有的观察者(Observer)推送信息 2.观察者可以获取服务端的状态 3.服务端和观察者可抽象,可以有多个不同实现 Subjec ...

  4. 如何统一管理单个任务下所有API的同步情况?

    如何统一管理单个任务下所有API的同步情况 1. 一分钟完成单个API配置 单个API的配置包含:API名称.URL地址.请求方式.参数设置.自定义高级设置. 参数允许用户填写:Text.WebSer ...

  5. ABP问题集结

    添加js跨域访问. 在Startup.cs文件中  public IServiceProvider ConfigureServices(IServiceCollection services)中添加 ...

  6. SSH SSL TELNET的比较(转)

    转载链接  https://blog.csdn.net/baidu_39486224/article/details/81295701 SSL(Secure Sockets Layer (SSL) a ...

  7. 【异常】Caused by: java.lang.IllegalStateException: RequestParam.value() was empty on parameter 0

    使用@RequestParam注解,必须指定名称如: @RequestParam("date")String date

  8. 七、Linux_端口、进程

    Linux_端口.进程 1.查看所有端口 netstat -nlutp 2.停掉使用端口的进程,根据进程pid kill 1818 kill -9 1818 # 强制杀掉进程 3.根据进程名杀死进程: ...

  9. C程序中的内存分布

    一个典型的C程序存储分区包含以下几类: Text段 已初始化数据段 未初始化数据段 栈 堆 进程运行时的典型内存布局 1. Text段 Text段通常也称为代码段,由可执行指令构成,是程序在目标文件或 ...

  10. 08 c++中运算符重载(未完成)

    参考:轻松搞定c++语言 定义:赋予已有运算符多重含义,实现一名多用(比较函数重载) 运算符重载的本质是函数重载 重载函数的格式: 函数类型 operator 运算符名称(形参表列)  {  重载实体 ...