开源大数据集群部署（六）Keytab文件生成

作者：櫰木
Keytab文件用于在不输入密码的情况下对主体（用户或服务）进行身份验证。以下是创建Kerberos身份验证的步骤。

1、创建keytab文件

除了使用明文密码登录之外，Kerberos还可以使用keytab密码文件登陆，现在为testcuser创建它的keytab文件

ipa-getkeytab -s ipa.hdp.hadoop -p testcuser@HDP.HADOOP -k testcuser.keytab

这样就在当前执行目录下生成了testcuser.keytab文件


通过此keytab文件登陆
和使用明文密码一样，通过keytab文件一样可以登陆，并且这种方式更加安全

2、 添加DNS记录

安装客户端后，出现找不到dns的错误，需要手动添加。

ipa dnsrecord-add

ipa dnsrecord-add dtstack.com hd3  --a-ip-address=172.16.107.127

3、创建生成服务keytab的用户（如zookeeper.keytab）

登录freeipa的webui
创建apache-user用户

创建apache-role角色

添加以下两个特权
添加用户到此角色

添加用户后，需要进行第一次kinit认证，并会提示修改默认密码

kinit apache-user

生成keytab到/data/kerberos/apache-user.keytab目录下

ipa-getkeytab -s hd.dtstack.com -p apache-user@DTSTACK.COM -k /data/kerberos/apache-user.keytab

验证Keytab身份验证，

kinit apache-user@DTSTACK.COM  -kt  /data/kerberos/apache-user.keytab 验证是否能够认证成功

该命令测试使用生成的Keytab进行身份验证是否成功。

更多技术信息请查看云掣官网https://yunche.pro/?t=yrgw