kerberos在Cloudera manager +CDH中的运用实践

hadoop在用户权限上做的只是像linux用户级别的安全认证,即对文件的访问权限。对于一些数据安全比较重视的公司是不够的,如果对数据安全有要求,而且是认证方式的,可以使用kerberos,但是并不是很好用,当初阿里巴巴在安全上使用kerberos,后来嫌弃太麻烦就抛弃了,自己开发了一套安全认证系统叫宙斯盾已经开源,有兴趣的可以看看。

今天为大家写的实践已经运用到我们单位的大数据平台。不废话去讲kerberos的认证方式和原理,直接进入主题。

kerberos需要跟用户管理系统NIS配合使用。

1、所需安装包:

NIS服务器:

rpcbind-0.2.0-11.el6.x86_64

ypserv-2.19-26.el6_4.2.x86_64

 

NIS客户端:

yp-tools-2.9-12.el6.x86_64

ypbind-1.20.4-30.el6.x86_64

rpcbind-0.2.0-11.el6.x86_64

 

KDC服务器:

krb5-server-1.10.3-57.el6.x86_64

krb5-workstation-1.10.3-57.el6.x86_64

krb5-libs-1.10.3-57.el6.x86_64

krb5-devel-1.10.3-57.el6.x86_64

 

KDC客户端:

krb5-libs-1.10.3-57.el6.x86_64

krb5-devel-1.10.3-57.el6.x86_64

krb5-workstation-1.10.3-57.el6.x86_64

 

2、角色分类:

3、配置NIS服务器(1.1)

配置NIS区域名称、固定服务端口

vi /etc/sysconfig/network

NETWORKING=yes

HOSTNAME=bigdata022

NISDOMAIN=BIGDATA

YPSERV_ARGS="-p 1011"

 

设置允许访问NIS服务器的主机

vi /var/yp/securenets

255.255.255.0 192.168.1.0

 

开启ypserv、rpcbind(portmap)服务,并设置为开机启动

service rpcbind restart;chkconfig rpcbind on

service ypserv restart ; chkconfig ypserv on

创建NIS信息库

//自动识别当前主机名,若无需添加其他NIS服务器,直接按Ctrl+D确认提交就可以了.

#/usr/lib64/yp/ypinit -m

kerberos在Cloudera manager +CDH中的运用实践_第1张图片

到此,NIS服务器配置完毕

4、配置NIS客户端(1.1、1.2、1.3、1.4)

指定NIS区域、服务器地址信息:

vi /etc/yp.conf

domain BIGDATA server 192.168.1.1

 

启动ypbind、portmap服务并设置成开机自启

service rpcbind restart ; chkconfig rpcbind on
service ypbind restart ; chkconfig bind on

kerberos在Cloudera manager +CDH中的运用实践_第2张图片

验证:

ypcat  -d BIGDATA -h bigdata022 passwd

5、配置KDC服务器

kerberos配置文件一:

vi /etc/krb5.conf

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log

[libdefaults]
default_realm = BIGDATA              //将文件中的默认领域改为自己的领域
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 86400             //票据的默认生命周期
renew_lifetime =604800
forwardable = true
default_tgs_enctypes = rc4-hmac
default_tkt_enctypes = rc4-hmac
permitted_enctypes = rc4-hmac
udp_preference_limit = 1
kdc_timeout = 3000

[realms]
BIGDATA= {
kdc = bigdata022               //指定KDC服务(krb5kdc)的地址
admin_server = bigdata022       //指定KADMIN管理服务(kadmin)的地址
}

[kdc]

profile=/var/kerberos/krb5kdc/kdc.conf      //指定KDC配置文件的位置

复制粘贴的时候把//注释去掉。

kerberos配置文件二:

vi /var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 BIGDATA = {
  master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal

 }

kerberos配置文件三:

vi /var/kerberos/krb5kdc/kadm5.acl

*/admin@BIGDATA *


配置完成:

将/etc/krb5.conf传递到客户端机器。

创建KDC票据数据库。

kdb5_utilcreate -r BIGDATA -s

kerberos在Cloudera manager +CDH中的运用实践_第3张图片

注意:密码一定要牢记。

注:该命令会在 /var/kerberos/krb5kdc/ 目录下创建 principal 数据库。如果遇到数据库已经存在的提示,可以把 /var/kerberos/krb5kdc/ 目录下的 principal 的相关文件都删除掉。默认的数据库名字都是 principal。可以使用 -d 指定数据库名字。

开启kdc服务并设置开机自启:

servicekrb5kdc restart

servicekadmin restart

chkconfig krb5kdcon

chkconfig kadminon

6、配置管理员用户和密码:

kadmin.local

kerberos在Cloudera manager +CDH中的运用实践_第4张图片

验证:

kerberos在Cloudera manager +CDH中的运用实践_第5张图片

7、开启cloudera manager的kerberos认证:

kerberos在Cloudera manager +CDH中的运用实践_第6张图片

kerberos在Cloudera manager +CDH中的运用实践_第7张图片

点击继续:

kerberos在Cloudera manager +CDH中的运用实践_第8张图片

点击继续,输入管理员用户和密码:

kerberos在Cloudera manager +CDH中的运用实践_第9张图片

kerberos在Cloudera manager +CDH中的运用实践_第10张图片

点击继续,点击继续,重启集群:

kerberos在Cloudera manager +CDH中的运用实践_第11张图片

集群启用kerberos(比较慢)并重启:

kerberos在Cloudera manager +CDH中的运用实践_第12张图片

启动完毕后,会发现有错误:

Kerberos Ticket Renewer 运行状况 不良

kerberos在Cloudera manager +CDH中的运用实践_第13张图片

查看错误:

主要是说,没有设置最大轮转时间。

解决办法:

a、在kerberos主机的/var/kerberos/krb5kdc/kdc.conf配置文件中加入:max_renewable_life=10d

b、找到listprincs中的krbtgt的主题:

kerberos在Cloudera manager +CDH中的运用实践_第14张图片

kadmin.local:modprinc -maxrenewlife 10days krbtgt/BIGDATA@BIGDATA

重启服务即可。

至此,集群已经开启kerberos认证。

kerberos在Cloudera manager +CDH中的运用实践_第15张图片


补充:kerberos管理集群的男队较大,若你不想要kerberos管理集群,千万不要随便卸载,cloudera manager并没有关闭kerberos的按钮,需要手动配置安装:

关闭集群kereros认证:

当kerberos服务器故障时,不能提供服务的零时解决办法

当kerberos不提供服务的时候,需要在cloudera manager管理页面对HDFS和zookeeper两个服务的配置进行修改,然后重启集群即可:

对比:

未开启kerberos安全认证时的DataNode收发端口和UI端口以及NameNode的RPC端口如下图:

kerberos在Cloudera manager +CDH中的运用实践_第16张图片

安全服务及授权:

kerberos在Cloudera manager +CDH中的运用实践_第17张图片

开启kerberos安全认证后的端口及安全授权:

kerberos在Cloudera manager +CDH中的运用实践_第18张图片

kerberos在Cloudera manager +CDH中的运用实践_第19张图片

Zookeeper的配置对比:

未开启kerberos


开启kerberos

综上所述,当kerberos出现故障时,我们可以改回这些配置,将hadoop集群零时调整到非安全状态,从而继续数据分析任务。









你可能感兴趣的:(kerberos)