KDC服務安裝在Cloudera Manager Server所在服務器上(KDC服務可根據自己需要安裝在其他服務器)
1.在Cloudera Manager服務器上安裝KDC服務:
yum -y install krb5-server krb5-libs krb5-auth-dialog krb5-workstation
2.修改/etc/krb5.conf配置
vim /etc/krb5.conf 修改紅框部分
3.修改/var/kerberos/krb5kdc/kadm5.acl配置
vim /var/kerberos/krb5kdc/kadm5.acl
4.修改/var/kerberos/krb5kdc/kdc.conf配置
vim /var/kerberos/krb5kdc/kdc.conf
max_renewable_life= 7d 0h 0m 0s
5.創建Kerberos數據庫
kdb5_util create -r ZNCKJ.COM -s 回車輸入密碼
6.創建Kerberos的管理賬號,輸入管理員密碼
可以使用kadmin.local或kadmin,至於使用哪個,取決於賬戶和訪問權限:
kadmin.local(on the KDC machine)or kadmin (from any machine)
如果有訪問kdc服務器的root權限,但是沒有kerberos admin賬戶,使用kadmin.local
如果沒有訪問kdc服務器的root權限,但是用kerberos admin賬戶,使用kadmin
常用kerberos管理命令#kadmin.local
列出所有用戶 listprincs
查看某個用戶屬性,如 getprinc hdfs/hdfs@znckj
添加用戶 addprinc
kadmin.local
7.添加kerberos自啓動及重啓服務
systemctl enable krb5kdc
systemctl enable kadmin
systemctl restart krb5kdc
systemctl restart kadmin
8.測試Kerberos的管理員賬號
kinit admin/[email protected]
klist
9.爲集羣安裝Kerberos客戶端,包括Cloudera Manager
yum -y install krb5-libs krb5-workstation
10.在Cloudera Manager Server服務器上安裝額外的包
yum -y install openldap-clients
11.將KDC Server上的krb5.conf文件拷貝到所有Kerberos客戶端
scp -r /etc/krb5.conf znckj-hadoop-dev2:/etc/
..........
CDH集羣啓用Kerberos
1.在KDC中給Cloudera Manager添加管理員賬號
[root@znckj-hadoop-dev1 ~]# kadmin.local
kadmin.local: addprinc cloudera-scm/[email protected]
2.進入Cloudera Manager的“管理”-> “安全”界面
3.選擇“啓用Kerberos”,進入如下界面,選擇所有檢查項都已完成
4.點擊“繼續”,配置相關的KDC信息,包括類型、KDC服務器、KDC Realm、加密類型以及待創建的Service Principal(hdfs,yarn,,hbase,hive等)的更新生命期等
5.繼續
6.繼續,輸入Cloudera Manager的Kerbers管理員賬號,必須和之前創建的賬號一致
7.繼續
8.繼續
9.繼續,勾選重啓集羣
10.繼續,完成重啓後,啓用完畢