1. 程式人生 > >Kerberos 安裝與配置 (七)

Kerberos 安裝與配置 (七)

7.1 KDC server的 安裝

1、安裝最新版的KDC server

  yum install krb5-server krb5-libs krb5-workstation
  • 注:KDC (Key Distribution Center)密匙分配中心, 其在kerberos中通常提供兩種服務:
    1.Authentication Service (AS):認證服務   
    2.Ticket-Granting Service (TGS):授予票據服務

2、編輯配置檔案

     vi /etc/krb5.conf 

[libdefaults]
  renew_lifetime = 7
d forwardable = true default_realm = DATAPLAT.COM.CN ticket_lifetime = 24h dns_lookup_realm = false dns_lookup_kdc = false default_ccache_name = /tmp/krb5cc_%{uid} #default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5 #default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5 [logging] default = FILE
:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log kdc = FILE:/var/log/krb5kdc.log [realms] BIGDATA.ORG.CN = { admin_server = 10.123.12.7 kdc = 10.123.12.7 } [domain_realm] .bigdata.org.cn = DATAPLAT.COM.CN bigdata.org.cn = DATAPLAT.COM.CN

注:修改[realms]與新增[domain_realm] ,[libdefaults]對應的default_realm的值

3、使用 kdb5_util 建立Kerberos資料庫(*注:會提醒你輸入密碼,要記好密碼)

     kdb5_util create -s

     Enter KDC database master key:xxxxxx

4、啟動KDC服務

/etc/rc.d/init.d/krb5kdc start
/etc/rc.d/init.d/kadmin start 

5、設定KDC服務開機啟動

chkconfig krb5kdc on
chkconfig kadmin on

6、建立Kerberos管理員(根據提示輸入密碼)

kadmin.local -q "addprinc root/root" 
Enter password for principal "root/root@DATAPLAT.COM.CN":xxxxxxxxxx

7、檢視KDC ACL許可權檔案並確保kadm5.acl檔案中,有你剛才定義的[realm]資訊,無則補上

vi /var/kerberos/krb5kdc/kadm5.acl 
*/[email protected].COM *
*/[email protected].COM.CN     * 

注:其中 /[email protected] 即為需要新增的資訊

8、重啟kadmin程序

/etc/rc.d/init.d/kadmin restart 

7.2 使用Ambari自動配置Kerberos

  1. 確認你已經安裝了KDC並啟動了KDC服務,確認你已經安裝了JCE;

  2. 登入到Ambari,在選單欄中 Admin > Kerberos;

  3. 點選 “Enable Kerberos”進入嚮導安裝模式;

  4. 選擇你之前配置的KDC版本資訊(我們之前配置的是MIT KDC);

  5. 勾選選框確認已經完成了Kerberos安裝前的準備事項;

  6. 填寫KDC相關配置資訊(這裡假設你已經按照我們之前的步驟安裝了KDC)
    下列選項中Domains最好是填上:.data.com.cn
    這裡寫圖片描述

一路Next 便可.

注:kerberos開啟後建議不要隨意進行重啟,由於kerberos在重啟過程中需要將很多配置檔案進行移除相關的操作。在這個過程有可能會出現移除檔案不完整的情況。因而導致整個系統訪問出現問題。

7.2.1 Kerberos的票據管理

在使用kerberos進行HDP叢集安全認證的時候,我們需要對能夠接入叢集的使用者進行管理,這個時候會需要使用到一些常用的命令。本小節將集中講解如何管理kerberos的票據,包括生成、分發、刪除等操作。

1、登入 kerberos

 /usr/sbin/kadmin.local

2、檢視使用者

kadmin.local : listprincs

3、新增使用者

kadmin.local : addprinc project2/hdp39@BMSOFT.COM

4、刪除使用者

kadmin.local : delprinc project2/hdp39@BMSOFT.COM

5、建立keytable檔案 生成 project2/hdp39 使用者的 keytab 檔案到 /opt/keystore/ 目錄(目錄由自己隨意指定)

kadmin.local :ktadd -k /opt/keystore/project2.keytab project2/hdp39

6、獲得或更新 Kerberos 票據授權票據

kinit -k -t /opt/keystore/project2.keytab project2/[email protected].COM

7.2.2 對kerberos進行重啟出現的問題

如下為重啟出現的問題:

當成功開戶Kerberos後,通過Ambari將Kerberos 停用,停用之後便出現如下問題,hdfs沒有訪問許可權,異常如下所示:

Unauthorized connection for super-user: root from IP 10.123.12.7

原因:其將HDFS的訪問許可權設定為只允許hdp04該主機訪問了,將其訪問許可權修改為允許所有主機訪問則可(即改為 *)
如下圖所示:
這裡寫圖片描述

注:如果在使用kerberos的過程中,出現了實現解決不了的問題,可以試下重新安裝KDC 。

相關推薦

Kerberos 安裝配置 ()

7.1 KDC server的 安裝 1、安裝最新版的KDC server ​ yum install krb5-server krb5-libs krb5-workstation 注:KDC (Key Distribution Ce

Kerberos 基本安裝配置

由於最近環境需要用到Kerberos認證,之前對Kerberos這塊瞭解甚少,今天抽空自己手動安裝一下Kerberos,以此加深對Kerberos的理解。 1 選擇一臺機器執行KDC,安裝Kerberos相關服務 yum install -y krb5-devel krb

3.1 Java以及Lucene的安裝配置

clas font style edi 面向對象 上進 net ref ips Lucene是Java開發的一套用於全文檢索和搜索的開源程序庫,它面向對象多層封裝,提供了一個低耦合、與平臺無關的、可進行二次開發的全文檢索引擎架構,是這幾年最受歡迎的信息檢索程序庫[1]。對L

Tomcat、mysql在Linux上的安裝配置

jre -s mkdir acl .html pat etc rac pac 1.下載JDK與Tomcat. jdk下載地址: http://www.oracle.com/technetwork/java/javase/downloads/jdk7-downlo

【Redis】2、CentOS 7 上安裝 redis3.2.3安裝配置

sync 倉庫 ace /var/ 發現 wan sudo base str 一、redis源碼安裝 【更正】現在最新穩定的版本已經到了3.2.8 截至到2016.8.11,redis最新穩定版本為3.2.3.本篇文章我們就以此版本為基礎,進行相關的講解。 下載redis源

linux應用之vim的安裝配置(centos)

utf8 power scroll pbo gb2312 nco pla red vma 1.vim的安裝 #yum search vim //查看vim相關軟件信息 #yum install -y vim* //在線安裝vim 2.vim的配置 (1)~/.vimi

LDAP簡介及LDAP服務器的安裝配置

默認 access 目的 ani pro sta 目錄服務 unit onf 一、LDAP簡介 全稱:Lightweight Directory Access Protocol,目錄服務是一種特殊的數據庫系統,其專門針對讀取。 LDAP目錄中的信息是按照樹型結構組織,具體信

Redis 3.2.8 安裝配置

blog 裝包 ase dir edi useradd nging 執行文件 make 在本章中,您將了解和學習Redis的環境安裝設置。 一、RedHat 6.0 自定義安裝 1、創建redis用戶 Redis 默認的安裝路徑是/usr/local/redis,並且

Eclipse的安裝配置

卸載 exe 分享 技術分享 .org src 技術 修改 刪除 1.下載 http://www.eclipse.org/ 2.安裝 解壓後就能使用(解壓目錄不要出現中文) 雙擊解壓後的exe文件,首次啟動會出現 修改工作空間 3.卸載 將文件夾刪除即可 Eclipse

菜鳥運維筆記:安裝配置Apacheserver

str .cn apach tps 官網 壓縮 ron entos 本地 前幾天在在阿裏花了49.5買了一個月的主機。試著好用再續費吧。 地域:青島可用區:青島可用區ACPU:1核內存:512MB帶寬:1Mbps操作系統:CentOS 6.5 64位雲盾:是

Tomcat 8安裝配置

tomcat##Tomcat 8官方文檔:http://tomcat.apache.org/tomcat-8.0-doc/setup.html#Tomcat 8 下載地址:http://tomcat.apache.org/download-80.cgi# Tomcat 運行需要JDK的支持#JDK 下載地址:

CentOS6.3上安裝配置nginx+php+mysql環境

需要 目前 htm evel mem dev gin ins comm 1. 目前nginx采用是源碼包安裝的方式(yum安裝失敗),下載地址:http://nginx.org/en/download.html 我這裏的安裝包是:nginx-1.12.0.tar.gz

resin安裝配置

resin配置 tomcat jdk javaresin安裝與配置介紹下第二種支持java的軟件resin官網地址:caucho.com有兩個版本,一個免費的一個收費的具體步驟如下:一、下載和配置jdk(1)下載JDK(百度搜JDK官網)http://www.oracle.com/technetw

MySQL的安裝配置

mysql的安裝 格式 root 初始化 .cn file 文件中 數據 sta   MySQL的官方地址:https://www.mysql.com/ 社區最新版本:5.7.18 有兩種下載格式:Installer和Zip兩種 以zip

(一)elasticsearch-5.x安裝配置

head(一)平臺所需的環境OS:CentOS 7.x minimalelasticsearch :elasticsearch-5.4.0版本jdk: 1.8已上版本創建普通用戶:appuser最新的下載路徑地址為:https://www.elastic.co/downloads (二)配置操作系統的環境並

九、LAMP的安裝配置

lamp安裝、配置9.1、PHP與httpd的結合工作方式常見PHP開源軟件: 論壇:phpwind、discuz 、phpbb 博客系統:wordpress 門戶站點:drupal、xooms 數據庫:phpMyAdmin、Workbench、MySQL Front、Navicat for MySQ

Linux NFS服務器的安裝配置

分析 onu 重新啟動 其余 現實 共享目錄 miss ports del 一、NFS服務簡介   NFS 是Network File System的縮寫,即網絡文件系統。一種使用於分散式文件系統的協定,由Sun公司開發,於1984年向外公布。功能是通過網絡讓不同的機器、不

CentOS-7.0.中安裝配置Tomcat-7的方法

代碼 accept iptables jdk1.7 ews 啟動 state cat 解決方案 轉自:http://www.linuxidc.com/Linux/2015-08/122241.htm 安裝說明 安裝環境:CentOS-7.0.1406安裝方式:源碼安裝

CentOS-7中安裝配置Tomcat8.5

ane dsc 配置 pub add ted tar.gz 分享 cal 第一步:下載Tomcat8.5,通過地址:http://tomcat.apache.org/download-80.cgi下載 最後得到下載文件 apache-tomcat-8.5.15.tar.g

MySQL5.6 數據庫主從(Master/Slave)同步安裝配置詳解

inux bind 主從配置 希望 master 強調 數據庫主從 ria 配置文件 目錄(?)[+] 安裝環境 操作系統 :CentOS 6.5 數據庫版本:MySQL 5.6.27 主機A:192.168.1.1 (Master) 主機B:192.168.