Kerberos 安裝與配置 (七)
7.1 KDC server的 安裝
1、安裝最新版的KDC server
yum install krb5-server krb5-libs krb5-workstation
- 注:KDC (Key Distribution Center)密匙分配中心, 其在kerberos中通常提供兩種服務:
1.Authentication Service (AS):認證服務
2.Ticket-Granting Service (TGS):授予票據服務
2、編輯配置檔案
vi /etc/krb5.conf
[libdefaults]
renew_lifetime = 7 d
forwardable = true
default_realm = DATAPLAT.COM.CN
ticket_lifetime = 24h
dns_lookup_realm = false
dns_lookup_kdc = false
default_ccache_name = /tmp/krb5cc_%{uid}
#default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
#default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
[logging]
default = FILE :/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
kdc = FILE:/var/log/krb5kdc.log
[realms]
BIGDATA.ORG.CN = {
admin_server = 10.123.12.7
kdc = 10.123.12.7
}
[domain_realm]
.bigdata.org.cn = DATAPLAT.COM.CN
bigdata.org.cn = DATAPLAT.COM.CN
注:修改[realms]與新增[domain_realm] ,[libdefaults]對應的default_realm的值
3、使用 kdb5_util 建立Kerberos資料庫(*注:會提醒你輸入密碼,要記好密碼)
kdb5_util create -s
Enter KDC database master key:xxxxxx
4、啟動KDC服務
/etc/rc.d/init.d/krb5kdc start
/etc/rc.d/init.d/kadmin start
5、設定KDC服務開機啟動
chkconfig krb5kdc on
chkconfig kadmin on
6、建立Kerberos管理員(根據提示輸入密碼)
kadmin.local -q "addprinc root/root"
Enter password for principal "root/root@DATAPLAT.COM.CN":xxxxxxxxxx
7、檢視KDC ACL許可權檔案並確保kadm5.acl檔案中,有你剛才定義的[realm]資訊,無則補上
vi /var/kerberos/krb5kdc/kadm5.acl
*/[email protected].COM *
*/[email protected].COM.CN *
注:其中 /[email protected] 即為需要新增的資訊
8、重啟kadmin程序
/etc/rc.d/init.d/kadmin restart
7.2 使用Ambari自動配置Kerberos
確認你已經安裝了KDC並啟動了KDC服務,確認你已經安裝了JCE;
登入到Ambari,在選單欄中 Admin > Kerberos;
點選 “Enable Kerberos”進入嚮導安裝模式;
選擇你之前配置的KDC版本資訊(我們之前配置的是MIT KDC);
勾選選框確認已經完成了Kerberos安裝前的準備事項;
填寫KDC相關配置資訊(這裡假設你已經按照我們之前的步驟安裝了KDC)
下列選項中Domains最好是填上:.data.com.cn
一路Next 便可.
注:kerberos開啟後建議不要隨意進行重啟,由於kerberos在重啟過程中需要將很多配置檔案進行移除相關的操作。在這個過程有可能會出現移除檔案不完整的情況。因而導致整個系統訪問出現問題。
7.2.1 Kerberos的票據管理
在使用kerberos進行HDP叢集安全認證的時候,我們需要對能夠接入叢集的使用者進行管理,這個時候會需要使用到一些常用的命令。本小節將集中講解如何管理kerberos的票據,包括生成、分發、刪除等操作。
1、登入 kerberos
/usr/sbin/kadmin.local
2、檢視使用者
kadmin.local : listprincs
3、新增使用者
kadmin.local : addprinc project2/hdp39@BMSOFT.COM
4、刪除使用者
kadmin.local : delprinc project2/hdp39@BMSOFT.COM
5、建立keytable檔案 生成 project2/hdp39 使用者的 keytab 檔案到 /opt/keystore/ 目錄(目錄由自己隨意指定)
kadmin.local :ktadd -k /opt/keystore/project2.keytab project2/hdp39
6、獲得或更新 Kerberos 票據授權票據
kinit -k -t /opt/keystore/project2.keytab project2/[email protected].COM
7.2.2 對kerberos進行重啟出現的問題
如下為重啟出現的問題:
當成功開戶Kerberos後,通過Ambari將Kerberos 停用,停用之後便出現如下問題,hdfs沒有訪問許可權,異常如下所示:
Unauthorized connection for super-user: root from IP 10.123.12.7
原因:其將HDFS的訪問許可權設定為只允許hdp04該主機訪問了,將其訪問許可權修改為允許所有主機訪問則可(即改為 *)
如下圖所示:
注:如果在使用kerberos的過程中,出現了實現解決不了的問題,可以試下重新安裝KDC 。
相關推薦
Kerberos 安裝與配置 (七)
7.1 KDC server的 安裝 1、安裝最新版的KDC server yum install krb5-server krb5-libs krb5-workstation 注:KDC (Key Distribution Ce
Kerberos 基本安裝與配置
由於最近環境需要用到Kerberos認證,之前對Kerberos這塊瞭解甚少,今天抽空自己手動安裝一下Kerberos,以此加深對Kerberos的理解。 1 選擇一臺機器執行KDC,安裝Kerberos相關服務 yum install -y krb5-devel krb
3.1 Java以及Lucene的安裝與配置
clas font style edi 面向對象 上進 net ref ips Lucene是Java開發的一套用於全文檢索和搜索的開源程序庫,它面向對象多層封裝,提供了一個低耦合、與平臺無關的、可進行二次開發的全文檢索引擎架構,是這幾年最受歡迎的信息檢索程序庫[1]。對L
Tomcat、mysql在Linux上的安裝與配置
jre -s mkdir acl .html pat etc rac pac 1.下載JDK與Tomcat. jdk下載地址: http://www.oracle.com/technetwork/java/javase/downloads/jdk7-downlo
【Redis】2、CentOS 7 上安裝 redis3.2.3安裝與配置
sync 倉庫 ace /var/ 發現 wan sudo base str 一、redis源碼安裝 【更正】現在最新穩定的版本已經到了3.2.8 截至到2016.8.11,redis最新穩定版本為3.2.3.本篇文章我們就以此版本為基礎,進行相關的講解。 下載redis源
linux應用之vim的安裝與配置(centos)
utf8 power scroll pbo gb2312 nco pla red vma 1.vim的安裝 #yum search vim //查看vim相關軟件信息 #yum install -y vim* //在線安裝vim 2.vim的配置 (1)~/.vimi
LDAP簡介及LDAP服務器的安裝與配置
默認 access 目的 ani pro sta 目錄服務 unit onf 一、LDAP簡介 全稱:Lightweight Directory Access Protocol,目錄服務是一種特殊的數據庫系統,其專門針對讀取。 LDAP目錄中的信息是按照樹型結構組織,具體信
Redis 3.2.8 安裝與配置
blog 裝包 ase dir edi useradd nging 執行文件 make 在本章中,您將了解和學習Redis的環境安裝設置。 一、RedHat 6.0 自定義安裝 1、創建redis用戶 Redis 默認的安裝路徑是/usr/local/redis,並且
Eclipse的安裝與配置
卸載 exe 分享 技術分享 .org src 技術 修改 刪除 1.下載 http://www.eclipse.org/ 2.安裝 解壓後就能使用(解壓目錄不要出現中文) 雙擊解壓後的exe文件,首次啟動會出現 修改工作空間 3.卸載 將文件夾刪除即可 Eclipse
菜鳥運維筆記:安裝與配置Apacheserver
str .cn apach tps 官網 壓縮 ron entos 本地 前幾天在在阿裏花了49.5買了一個月的主機。試著好用再續費吧。 地域:青島可用區:青島可用區ACPU:1核內存:512MB帶寬:1Mbps操作系統:CentOS 6.5 64位雲盾:是
Tomcat 8安裝與配置
tomcat##Tomcat 8官方文檔:http://tomcat.apache.org/tomcat-8.0-doc/setup.html#Tomcat 8 下載地址:http://tomcat.apache.org/download-80.cgi# Tomcat 運行需要JDK的支持#JDK 下載地址:
CentOS6.3上安裝與配置nginx+php+mysql環境
需要 目前 htm evel mem dev gin ins comm 1. 目前nginx采用是源碼包安裝的方式(yum安裝失敗),下載地址:http://nginx.org/en/download.html 我這裏的安裝包是:nginx-1.12.0.tar.gz
resin安裝與配置
resin配置 tomcat jdk javaresin安裝與配置介紹下第二種支持java的軟件resin官網地址:caucho.com有兩個版本,一個免費的一個收費的具體步驟如下:一、下載和配置jdk(1)下載JDK(百度搜JDK官網)http://www.oracle.com/technetw
MySQL的安裝與配置
mysql的安裝 格式 root 初始化 .cn file 文件中 數據 sta MySQL的官方地址:https://www.mysql.com/ 社區最新版本:5.7.18 有兩種下載格式:Installer和Zip兩種 以zip
(一)elasticsearch-5.x安裝與配置
head(一)平臺所需的環境OS:CentOS 7.x minimalelasticsearch :elasticsearch-5.4.0版本jdk: 1.8已上版本創建普通用戶:appuser最新的下載路徑地址為:https://www.elastic.co/downloads (二)配置操作系統的環境並
九、LAMP的安裝與配置
lamp安裝、配置9.1、PHP與httpd的結合工作方式常見PHP開源軟件: 論壇:phpwind、discuz 、phpbb 博客系統:wordpress 門戶站點:drupal、xooms 數據庫:phpMyAdmin、Workbench、MySQL Front、Navicat for MySQ
Linux NFS服務器的安裝與配置
分析 onu 重新啟動 其余 現實 共享目錄 miss ports del 一、NFS服務簡介 NFS 是Network File System的縮寫,即網絡文件系統。一種使用於分散式文件系統的協定,由Sun公司開發,於1984年向外公布。功能是通過網絡讓不同的機器、不
CentOS-7.0.中安裝與配置Tomcat-7的方法
代碼 accept iptables jdk1.7 ews 啟動 state cat 解決方案 轉自:http://www.linuxidc.com/Linux/2015-08/122241.htm 安裝說明 安裝環境:CentOS-7.0.1406安裝方式:源碼安裝
CentOS-7中安裝與配置Tomcat8.5
ane dsc 配置 pub add ted tar.gz 分享 cal 第一步:下載Tomcat8.5,通過地址:http://tomcat.apache.org/download-80.cgi下載 最後得到下載文件 apache-tomcat-8.5.15.tar.g
MySQL5.6 數據庫主從(Master/Slave)同步安裝與配置詳解
inux bind 主從配置 希望 master 強調 數據庫主從 ria 配置文件 目錄(?)[+] 安裝環境 操作系統 :CentOS 6.5 數據庫版本:MySQL 5.6.27 主機A:192.168.1.1 (Master) 主機B:192.168.