中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Kerberos安裝&使用

發布時間:2020-07-23 18:11:46 來源:網絡 閱讀:19766 作者:hsbxxl 欄目:大數據

Hadoop自身是沒有安全認證的,所以需要引入第三方的安全認證機制。kerberos是hadoop比較受歡迎的一種認證方式。kerberos配置比較簡單。但是實際使用的時候,如果不嚴格遵守游戲規則。你會經常遇到“奇怪”的問題。


1. 安裝kerberos的軟件包

yum install krb5*
vi /etc/krb5.conf

2. 修改kerberos的配置文件

# more /etc/krb5.conf 
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log
[libdefaults]
 default_realm = LIANG.COM
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 2d
 forwardable = false
[realms]
 LIANG.COM = {
  kdc = c6701
  admin_server = c6701
  default_domain = liang.com
  key_stash_file = /var/kerberos/krb5kdc/.k5.LIANG.COM
  dict_file = /usr/share/dict/words
 }
[domain_realm]
 .liang.com = LIANG.COM
 liang.com = LIANG.COM

3. 修改kdc配置文件

cat /var/kerberos/krb5kdc/kdc.conf
[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88
[realms]
 LIANG.COM = {
  kadmind_port = 749
  master_key_type = aes256-cts-hmac-sha1-96
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  supported_enctypes = des3-cbc-sha1:normal
  max_life = 24h 0m 0s
  max_renewable_life = 7d 0h 0m 0s
  dict_file = /usr/share/dict/words
  key_stash_file = /var/kerberos/krb5kdc/.k5.LIANG.COM
  database_name = /var/kerberos/krb5kdc/principal
 }

執行命令創建kdc數據庫

kdb5_util create -s -r HADOOP.LIANG.COM

4. 給數據庫管理員添加ACL權限,修改kadm5.acl文件,*代表全部權限

# cat /var/kerberos/krb5kdc/kadm5.acl
*/admin@ESGYN.COM   *

5. 啟動服務

# service krb5kdc start
# service kadmin start
# service krb5kdc status
# service kadmin status
# chkconfig krb5kdc on
# chkconfig kadmin on

6. 補充:在每個客戶端的系統參數/etc/profile中,加上下面參數,確保每次su - user都能使用同一個tgt,而不是創建一個新的,而找不到,最終導致su的用戶kinit失敗

# workaround for kerberos loging
export KRB5CCNAME=FILE:/tmp/krb5cc_`id -u`

7. 創建principal

kadmin.local -q "addprinc -pw <password> <username>"

針對hadoop用戶,增加主機名,一同創建principal,增加安全性。

注意:hadoop只能通過小寫的主機名進行注冊。如果主機名有大寫字母,手動改成小寫。后續kinit的時候,也是使用小寫的。hadoop會自動將大寫的主機名變成小寫。

kadmin.local -q "addprinc -pw <password> hdfs/<hostname>"

8. 創建keytab

kadmin.local -q "ktadd -norandkey -k /root/keytab/<username>.keytab <username>"

9. 注冊

kinit -kt /root/keytab/hdfs.keytab <username>

針對hadoop用戶,增加主機名,一同創建principal,增加安全性。

kinit -kt /root/keytab/hdfs.keytab hdfs/`hostname`

10. 查詢當前用戶的kinit情況

$ klist
Ticket cache: FILE:/tmp/krb5cc_1098
Default principal: hdfs/hdfs1.liang.com@LIANG.COM
Valid starting     Expires            Service principal
03/26/18 17:19:04  03/27/18 17:19:04  krbtgt/LIANG.COM@LIANG.COM
        renew until 04/02/18 17:19:04

11. 查詢keytab文件內容

$ klist -kt /etc/security/keytab/hdfs.keytab 
Keytab name: FILE:/root/keytab/hdfs.keytab
KVNO Timestamp         Principal
---- ----------------- --------------------------------------------------------
   1 04/07/17 16:16:04 hdfs/hdfs1.liang.com@LIANG.COM
   1 04/07/17 16:16:04 hdfs/hdfs2.liang.com@LIANG.COM
   1 04/07/17 16:16:05 hdfs/hdfs3.liang.com@LIANG.COM

12. 查詢KDC,用戶列表

kadmin.local -q "listprincs"

13. 刪除用戶

kadmin.local -q "delprinc -force HTTP/hdfs3.liang.com@LIANG.COM"

14. 修改密碼

kpasswd 用戶名


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

泌阳县| 巴东县| 招远市| 中牟县| 康定县| 吉木乃县| 祁门县| 丰镇市| 民丰县| 仙游县| 玉山县| 盐津县| 凉城县| 密山市| 连州市| 措勤县| 咸阳市| 金塔县| 遂宁市| 柳州市| 红安县| 黄冈市| 安阳市| 长治县| 忻州市| 德钦县| 清新县| 常州市| 繁峙县| 三门峡市| 遂平县| 精河县| 封丘县| 阳高县| 马山县| 和顺县| 新郑市| 兴业县| 喀什市| 宣化县| 南陵县|