微信公众号:大数据开发运维架构
关注可了解更多大数据相关的资讯。问题或建议,请公众号留言;
如果您觉得“大数据开发运维架构”对你有帮助,欢迎转发朋友圈
从微信公众号拷贝过来,格式有些错乱,建议直接去公众号阅读
Hadoop集群启用Kerberos认证后,我们平时需要在Window通过界面查看集群的一些webUI,通常需要安装一个Window的Kerberos客户端。
1.Kerberos官网下载地址:
http://web.mit.edu/kerberos/dist/
如果下载不下来keyon过我的网盘下载:
链接: https://pan.baidu.com/s/1uaS-_azgVP5OzYUKVHBiYw
提取码: esjr
2.我这里安装包kfw-4.1-amd64.msi,直接双击下一步,安装即可,安装目录可自己配置,这里最好按照默认目录配置,默认会安装在:
C:\Program Files\MIT\Kerberos
3.修改kerberos的keb5.ini文件,一般都在C:\ProgramData\MIT\Kerberos5目录下,新建krb5.ini文件,内容直接从krb5.conf拷贝即可,但是这里要注意,不要直接把krb5.conf重命名为krb5.ini,可能编码不一致容易报错;
另外一个坑就是配置default_ccache_name ,目录是票据的缓存目录,这里我配置到C盘一直报错,所以我这里改成了D盘,报错信息:
Credentials cache file permissions incorrect
原因:您对凭证高速缓存没有相应的读写权限。
default_ccache_name = D:\kafkaSSL\Kerberos\krb5cc_%{uid}
[libdefaults]
udp_preference_limit = 1
renew_lifetime = 3650d
forwardable = true
default_realm = CHINAUNICOM
ticket_lifetime = 3650d
dns_lookup_realm = false
dns_lookup_kdc = false
#注意这里一般不要配置到C盘,可能会报错没有权限
default_ccache_name = D:\kafkaSSL\Kerberos\krb5cc_%{uid}
#default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
#default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
[domain_realm]
.CHINAUNICOM = CHINAUNICOM
[realms]
CHINAUNICOM = {
admin_server = master98.hadoop.unicom
kdc = master98.hadoop.unicom
}
4.配置环境变量,将bin目录加到path,如果kerberos的环境变量在后面的话,其他的软件的指令里面也带了一些 kinit, ktab, klist 等软件,所以输入 kinit 、klist 的时候执行的是其他软件的指令。所以最好把kerberos放最前面!
5.另外有些同行建议配置环境变量KRB5_CONFIG,我这里不配置也可以,如果你报错找不到realms那就配置上:
KRB5_CONFIG=D:\kafkaSSL\Kerberos\krb5.ini
6.前面配置完成后一定要重启电脑,重启,重启,重要的事情说三遍!!!
7.票据缓存。可通过两种方式进行票据的缓存:
1).打开window的kerberos客户端界面,可缓存有密码的票据:
2).如果你的票据密码是报错在keytab文件中的,可通过cmd命令行缓存票据(这是window的kerbeos客户端也应处在开启状态),通过kinit 命令缓存,如图:
以上任一缓存方式缓存票据后,客户端界面都有已缓存的票据
8.配置浏览器访问。由于现在不支持其他浏览器,我们只能通过火狐浏览器进行配置,打开火狐浏览器,在地址栏输入:about:config
1).修改变量network.negotiate-auth.trusted-uris(允许使用gssapi链接验证的地址)为集群所有主机列表,我这里一共4个节点:
2)修改变量network.auth.use-sspi为false,关闭sspi验证协议
配置完成后可使用火狐浏览器hadoop相关的浏览器界面。