2023學(xué)年完整公開課版Hadoop相關(guān)的Kerberos設(shè)置

侯磊Hadoop相關(guān)的Kerberos設(shè)置目錄0102創(chuàng)建Kerberos數(shù)據(jù)庫啟動Kerberos創(chuàng)建Kerberos數(shù)據(jù)庫1創(chuàng)建Kerberos數(shù)據(jù)庫配置好了Kerberos還不算完成！還需要完成以下配置步驟，以便與Hadoop集群連接。1.創(chuàng)建Kerberos數(shù)據(jù)庫和第一個用戶主體(root)。2.啟動Kerberos服務(wù)。3.創(chuàng)建服務(wù)主體(SPN)。4.創(chuàng)建keytab文件。創(chuàng)建Kerberos數(shù)據(jù)庫如前所述，Kerberos由三個組件組成:數(shù)據(jù)庫、AS和TGS。在默認情況下必須創(chuàng)建一個數(shù)據(jù)庫。可以使用文件或LDAP目錄作為數(shù)據(jù)庫。創(chuàng)建Kerberos數(shù)據(jù)庫的方法如下:$kdb5_utilcreate-rEXAMPLE.COM–s-s選項指定將數(shù)據(jù)庫的主節(jié)點密鑰存儲在文件中，從而可以在每次啟動KDC時自動重新生成主節(jié)點密鑰。創(chuàng)建Kerberos數(shù)據(jù)庫kdb5_utilcreate命令在/usr/local/var/krb5kdc目錄下創(chuàng)建以下5個文件：兩個Kerberos數(shù)據(jù)庫文件principal和principal.okKerberos數(shù)據(jù)庫管理文件principal.kadm5數(shù)據(jù)庫鎖管理文件principal.kadm5.lock存儲文件k5.EXAMPLE.COM存儲文件是存儲在KDC本地磁盤上的加密主密鑰的副本。KDC在啟動Hadoop守護程序時，使用此存儲文件自動進行身份驗證。啟動Kerberos2啟動Kerberos為KDC創(chuàng)建管理員主體在啟動Kerberos服務(wù)之前，還必須在KDC服務(wù)器上創(chuàng)建第一個用戶主體。該用戶主體是Linux服務(wù)器上的root用戶。$sudokadmin.local–q完成了Kerberos配置后，就可以啟動Kerberos守護程序了。使用kadmind和krb5kdc實用程序啟動Kerberos服務(wù)，如下所示：#/sbin/servicekadmindstart#/sbin/servicekrb5kdcstart啟動Kerberos使用kadmind命令能夠從遠程服務(wù)器進行連接，從而使用kadmin客戶端執(zhí)行Kerberos管理。krb5kdc命令用來啟動KDC服務(wù)器。必須為每個Hadoop服務(wù)創(chuàng)建一個服務(wù)主體，如HDFS和YARN,使Hadoop守護進程能夠通過Kerberos認證hdfs(用于HDFS服務(wù))、mapred(用于MapReduce)和yarn(用于YARN)。啟動Kerberos需要為集群中的每個服務(wù)1守護程序?qū)?chuàng)建一個SPN。還必須為組件服務(wù)(如Hive、Oozie等)創(chuàng)建服務(wù)主體。為簡單起見，此處只介紹hdfs、yarn和mapred服務(wù)主體的創(chuàng)建，但可以使用相同的方法創(chuàng)建其他主體。除了HDFS和YARN之外，還創(chuàng)建了HTTP的服務(wù)主體，這是使用Kerberos所需的Web通信協(xié)議。所有這三個服務(wù)主體:hdfs、yarn和mapred都使用HTTP服務(wù)。通過為這些主體提供HTTP服務(wù)名稱，可以為我們?nèi)粘９ぷ髦惺褂玫腤eb界面啟用Kerberos身份驗證。啟動Kerberos每個服務(wù)主體都需要一個keytab文件來存儲其密碼。keytab文件包含Kerberos主體和根據(jù)其Kerberos密碼派生的加密密鑰對。當(dāng)服務(wù)正常運行時，其用于KDC身份驗證。UPN需要使用kinit登錄到安全集群，然后提供驗證密碼。但是，SPN無法進行交互式登錄嘗試。keytab文件存儲可用于特定SPN的加密密鑰，可以將多個SPN密鑰，存儲在同一個keytab文件中。實際上，普通用戶(UPN)也可以使用keytab文件代替在登錄時提供的密