基於Kerberos的NIFI集羣安全登陸模式

原創 Data_Analyst 2020-06-28 16:21

本文檔旨在說明如何在NIFI集羣模式下中配置kerberos安全登陸模式。

一、版本信息

OS:CentOS7.2
JDK : 1.8.0_65
NIFI : 1.3.0
ZooKeeper: 3.4.6

二、操作系統配置

2.1 配置每個節點各自的網絡靜態IP地址
vi /etc/sysconfig/network-scripts/ifcfg-enoXXX(該文件可能會因環境而異)

2.2 配置每個節點的主機名

方法一 hostnamectl set-hostname ***
方法二 vi /etc/hostname  把原來的主機名修改爲需要設置的主機名,例如:node1

2.3配置每個節點的IP映射文件

vi /etc/hosts
  192.168.1.1  node1
  192.168.1.2  node2
  192.168.1.3  node3
2.4 關閉每個節點的防火牆
>setenforce 0
>vi /etc/selinux/config
      SELINUX=disabled  #修改內容爲disabled
>systemctl stop firewalld.service
>systemctl disable firewalld.service
>firewall-cmd --state  #查看防火牆狀態(關閉顯示not running,開啓顯示running)
2.5 同步每個節點的時間
ntpdate 0.centos.pool.ntp.org 同步時間

三、配置kerberos server 

參考 上一篇文章 nifi基於Kerberos的單節點安全登陸配置

配置好Kerberos server端以後(可單獨配置一臺機器,也可配置在一臺nifi節點上),在其他節點安裝Kerberos的client端,並能連通(參考Kerberos主從架構設計)

配置Kerberos的client端--在每個client端執行

1.通過在線安裝的方式安裝KDC客戶端  

yum -y install krb5-libs krb5-workstation krb5-auth-dialog
2.配置kerberos客戶端的/etc/krb5.conf文件
配置成kerberos服務端一樣的內容就可以,爲了方便可直接拷貝kerberos服務端的文件直接覆蓋就可以。
3.驗證kerberos客戶端是否聯通,利用kinit命令驗證kerberos客戶端是否可以通信服務端。
kinit login/[email protected]

四、證書生成以及配置

利用Toolkit工具生成證書,Nifi官方提供了一個工具用戶生成相關的證書,參考文檔 Apache NiFi Admin Guide 的 TLS Generation Toolkit模塊:
下載地址:http://nifi.apache.org/download.html
下載後解壓安裝nifi-toolkit-1.3.0-bin.zip (或tar.gz格式),配置好環境變量方便使用.

生成相關證書
爲node[1-3]節點生成密鑰庫,truststore,nifi.properties以及具有給定DN的客戶端證書。
tls-toolkit.sh standalone -c ca.nifi.com -n 'node[1-3]' -o './target'
其中 
-n,-hostnames要生成證書的主機名列表(以逗號分隔),可指定多次,支持範圍和實例模式。
-c, -certificateAuthorityHostname 爲Hostname of NiFi Certificate Authority。
-o, -outputDirectory 指定生成證書的路徑

分發證書
把node1目錄下的文件拷貝到node1節點下nifi的安裝目錄的conf文件下,重複的文件選擇覆蓋,同樣把node2目錄下的文件拷貝到node2節點下nifi的安裝目錄的conf文件下,把node3目錄下的文件拷貝到node3節點下nifi的安裝目錄的conf文件下。
scp ./node1/* /opt/nifi-1.3.0/conf/
scp ./node2/* root@node2:/opt/nifi-1.3.0/conf/
scp ./node3/* root@node3:/opt/nifi-1.3.0/conf/

五、NIF配置-Kerberos認證

1. 配置nifi常用參數
採用nifi-toolkit工具生成的證書,在生成證書的過程中已經生了一個nifi.properties配置文件,把不同目錄下的證書文件拷貝到不同節點nifi的conf目錄下,重複的文件選擇覆蓋
然後修改nifi.properties中的一些參數
nifi.state.management.embedded.zookeeper.start=true
nifi.cluster.protocol.is.secure=true
nifi.cluster.is.node=true 
nifi.zookeeper.connect.string=node1:2181,node2:2181,node3:2181
採用了nifi中的自帶zookeeper,設置三個節點的zookeeper.
修改配置了zookeeper節點的nifi安裝目錄下的/conf/state-management.xml 
<property name="Connect String">node1:2181,node2:2181,node3:2181</property>
修改每個節點的/conf/zookeeper.properties 
server.1=node1:2888:3888
server.2=node2:2888:3888
server.3=node3:2888:3888
創建myid文件,主要根據zookeeper.properties文件的的dataDir=./state/zookeeper參數確定位置
在此文件夾下(沒有則創建)不同節點分別執行
echo 1 > ./state/zookeeper/myid
echo 2 > ./state/zookeeper/myid
echo 3 > ./state/zookeeper/myid
2. 配置kerberos參數
vi nifi.properties
nifi.remote.input.secure=true
nifi.security.user.login.identity.provider=kerberos-provider
# kerberos # 
nifi.kerberos.krb5.file=/etc/krb5.conf
nifi.kerberos.service.principal=test/[email protected] #配置的服務主體
nifi.kerberos.keytab.location=/opt/test-NIFI.keytab #配置服務主體的keytab
把配置服務主體的/opt/test-NIFI.keytab拷貝到每個節點的/opt目錄下
scp test-NIFI.keytab root@node2:/opt/
scp test-NIFI.keytab root@node3:/opt/
3. 配置nifi登陸信息
vi login-identity-providers.xml 
<provider> 
  <identifier>kerberos-provider</identifier> 
  <class>org.apache.nifi.kerberos.KerberosProvider</class> 
  <property name="Default Realm">NIFI.COM</property> 
  <property name="Authentication Expiration">12 hours</property> 
</provider>
放開kerberos-provide的配置,把相關注釋部分取消,然後配置成你前面設置的Realm。
4. 配置用於登陸的用戶信息
vi authorizers.xml
<authorizer>
        <identifier>file-provider</identifier>
        <class>org.apache.nifi.authorization.FileAuthorizer</class>
        <property name="Authorizations File">./conf/authorizations.xml</property>
        <property name="Users File">./conf/users.xml</property>
        <!--這裏配置的是用於頁面登陸的用戶-->
        <property name="Initial Admin Identity">login/[email protected]</property>
        <property name="Legacy Authorized Users File"></property>
       <!-- Provide the identity (typically a DN) of each node when clustered. 注意空格-->
        <property name="Node Identity 1">CN=node1, OU=NIFI</property>
        <property name="Node Identity 2">CN=node2, OU=NIFI</property>
        <property name="Node Identity 3">CN=node3, OU=NIFI</property> 
</authorizer>
5. 啓動服務,登陸web頁面
配置完成後,每個節點啓動nifi:nifi.sh start,啓動完成後用jps查看相關進程,或用curl命令來驗證nifi是否啓動:curl --insecure https://node1:9443/nifi

每個節點都能登陸訪問web頁面

Hosts:設置的ip

Port: 9443(默認,或者你修改的端口)

User: login/server

Password: ****(前面kerberos配置的用戶名和密碼)

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Apache NiFi 簡介

好記憶不如爛筆頭,能記下點東西,就記下點,有時間拿出來看看,也會發覺不一樣的感受. NiFi 總結 一個易用、強大、可靠的數據處理與分發系統。基於Web圖形界面,通過拖拽、連接、配置完成基於流程的編程,實現數據採集等功能 一、什麼是

supingemail 2020-06-22 15:31:23

NiFi 學習 — kafka入庫mysql

好記憶不如爛筆頭,能記下點東西,就記下點,有時間拿出來看看,也會發覺不一樣的感受. 介紹下從kafka中獲取數據,然後放入到 mysql 的操作! 目錄 目標 一、準備工作 1.kafka集羣 2.zookeeper集羣 3.數據表 4.

supingemail 2020-06-22 15:31:23

NiFi 學習 —自己實現處理器

好記憶不如爛筆頭,能記下點東西,就記下點,有時間拿出來看看,也會發覺不一樣的感受. 簡單描述一下自己通過學習nifi和查看源碼,然後自己通過nifi的體現很基礎的實現自己的業務的處理器開發。 適合剛入門的看,有nifi基礎的,可以跳過!

supingemail 2020-06-22 15:31:23

深入解析Apache NIFI的調度策略

簡介:本文主要講解Apache NIFI的調度策略,對象主要是針對Processor組件。本文假定讀者已經對Apache NIFI有了一定的瞭解和使用經驗,同時作者也儘可能的去講解的更透徹,使得本文儘可能讓對NIFI接觸不深的讀者

酷酷的诚(公众号:Panda诚) 2020-06-16 10:05:04

帶你體驗Apache NIFI新建數據同步流程(NIFI入門)

初衷:對於一些新接觸Apache NIFI的小夥伴來說,他們急於想體驗NIFI,恨不得直接找到一篇文章,照着做就直接能夠解決目前遇到的需求或者問題,回想當初的我,也是這個心態。其實這樣的心態是不對的。好多加入NIFI學習羣的新手同

酷酷的诚(公众号:Panda诚) 2020-06-16 10:05:04

擴展:CSV文件到mysql數據庫

整體流程圖:準備:csv文件內容:思路:1.獲取csv文件到flowfile2.添加屬性schema.name=test,爲下文將csv轉爲json做準備3.將csv轉化爲json4.將json轉爲sql語句5.插入到數據中詳細流程:1.

世界之大追梦者 2020-06-14 00:03:05

探索 Apache NIFI 集羣的高可用

酷酷的诚(公众号:Panda诚) 2020-05-21 23:21:25

Apache NIFI入門(讀完即入門)

酷酷的诚 2020-05-18 20:51:03

Apache NIFI AttributeRollingWindow

酷酷的诚 2020-05-18 20:51:03

Apache NIFI CompareFuzzyHash

酷酷的诚 2020-05-18 20:50:53

JoltTransformRecord

酷酷的诚 2020-05-10 06:18:31

JoltTransformJSON

酷酷的诚 2020-05-10 06:18:31

PutEmail

酷酷的诚 2020-05-10 06:18:31

Base64EncodeContent

酷酷的诚 2020-05-08 19:54:04

CalculateRecordStat

酷酷的诚 2020-05-08 19:54:04