不生產博客,只是別人博客的裁縫
一入kerberos深似海,從此節操是個玩意兒
目錄
cdh啓用kerberos後,如果我們需要本地連impala或者hive(本地代碼測試或者jdbc工具),都需要在本地裝kerberos
如果別的服務器需要通過jdbc訪問cdh的服務,也需要安裝kerberos客戶端
windows版(win10)
安裝包下載地址:
https://web.mit.edu/kerberos/dist/index.html
安裝的時候選典型即可
安裝完成後,會提示需要重啓,可以先配環境變量再重啓
配置環境變量
C盤沒有ProgramData的話查看隱藏文件即可
其中KRB5_CONFIG路徑是固定的,KRB5CCNAME任意目錄都可以,picc目錄必須手動創建,krb5cache無需創建
修改KRB5_CONFIG配置文件,將kerberos server的 krb5.conf內容複製到krb5.ini
然後修改host文件,將cdh所有的節點的ip 主機名都添加進來,然後就可以重啓了
打開kerberos客戶端登陸就可以了
linux版(suse)
如果只是在root用戶下安裝,按下面流程即可
解壓客戶端包
rpm -ivh krb5-libs-1.15.1-34.el7.x86_64.rpm
修改/etc/hosts,將cdh所有節點的ip 主機名都添加進來
配置/etc/krb5.conf,默認有內容的,把kerberos server的/etc/krb.conf內容拷過來即可
添加環境變量 vi /etc/profile
export KRB5CCNAME=/tmp/krb5cache
krb5cache文件不需要提前創建
然後就可以kinit了
如果是普通用戶安裝的話
需要配置普通用戶的環境變量
root用戶執行:su - user
然後vi .profile添加如下,(如果普通用戶沒.profile,拷一個過來即可)
export KRB5CCNAME=普通用戶家目錄/tmp/krb5cache
export KRB5CONF=/etc/krb5.conf
然後source下,就可以kinit了,這樣root kinit的時候就不會影響普通用戶了
kerberos基本操作
輸入kadmin.local進入命令行,或者直接kadmin.local -q ‘要執行的操作’而無需進去命令行
以下示例爲2種不同的方式添加用戶並指定密碼爲131420
delprinc刪除用戶
爲用戶生成keytab
如果不加-norandkey,生成keytab後,原來的密碼就不正確了
xst -norandkey -k /home/keytabs/test.keytab test
修改用戶密碼cpw
修改完用戶密碼,用戶的keytab也得重新生成,原先的keytab已無法過認證
暫且叫切用戶吧kinit,keytab認證無需輸密碼,直接kinit user需要輸密碼
kinit -kt xxx.keytab user
kinit user