KDC服务安装在Cloudera Manager Server所在服务器上(KDC服务可根据自己需要安装在其他服务器)
1.在Cloudera Manager服务器上安装KDC服务:
yum -y install krb5-server krb5-libs krb5-auth-dialog krb5-workstation
2.修改/etc/krb5.conf配置
vim /etc/krb5.conf 修改红框部分
3.修改/var/kerberos/krb5kdc/kadm5.acl配置
vim /var/kerberos/krb5kdc/kadm5.acl
4.修改/var/kerberos/krb5kdc/kdc.conf配置
vim /var/kerberos/krb5kdc/kdc.conf
max_renewable_life= 7d 0h 0m 0s
5.创建Kerberos数据库
kdb5_util create -r ZNCKJ.COM -s 回车输入密码
6.创建Kerberos的管理账号,输入管理员密码
可以使用kadmin.local或kadmin,至于使用哪个,取决于账户和访问权限:
kadmin.local(on the KDC machine)or kadmin (from any machine)
如果有访问kdc服务器的root权限,但是没有kerberos admin账户,使用kadmin.local
如果没有访问kdc服务器的root权限,但是用kerberos admin账户,使用kadmin
常用kerberos管理命令#kadmin.local
列出所有用户 listprincs
查看某个用户属性,如 getprinc hdfs/hdfs@znckj
添加用户 addprinc
kadmin.local
7.添加kerberos自启动及重启服务
systemctl enable krb5kdc
systemctl enable kadmin
systemctl restart krb5kdc
systemctl restart kadmin
8.测试Kerberos的管理员账号
kinit admin/[email protected]
klist
9.为集群安装Kerberos客户端,包括Cloudera Manager
yum -y install krb5-libs krb5-workstation
10.在Cloudera Manager Server服务器上安装额外的包
yum -y install openldap-clients
11.将KDC Server上的krb5.conf文件拷贝到所有Kerberos客户端
scp -r /etc/krb5.conf znckj-hadoop-dev2:/etc/
..........
CDH集群启用Kerberos
1.在KDC中给Cloudera Manager添加管理员账号
[root@znckj-hadoop-dev1 ~]# kadmin.local
kadmin.local: addprinc cloudera-scm/[email protected]
2.进入Cloudera Manager的“管理”-> “安全”界面
3.选择“启用Kerberos”,进入如下界面,选择所有检查项都已完成
4.点击“继续”,配置相关的KDC信息,包括类型、KDC服务器、KDC Realm、加密类型以及待创建的Service Principal(hdfs,yarn,,hbase,hive等)的更新生命期等
5.继续
6.继续,输入Cloudera Manager的Kerbers管理员账号,必须和之前创建的账号一致
7.继续
8.继续
9.继续,勾选重启集群
10.继续,完成重启后,启用完毕