Vereisten
Kerberos inschakelen
Preconfiguratie
Voordat u de wizard start, moet u twee configuraties instellen en alle services opnieuw opstarten.Aan de slag
Ga naar Admin -> Kerberos en druk op de knop "Enable Kerberos". De titels in dit gedeelte verwijzen naar de titels van de Kerberos-wizardpagina's.Kerberos-client configureren/installeren en testen
Vul alle KDC- en adminserverinformatie in. Bij stap 3 (Installatie en test van Kerberos-client) voert de Ambari-server een rooktest uit om ervoor te zorgen dat u Kerberos correct hebt geconfigureerd.
Configureren van identiteiten/Configuratie bevestigen
a) Ambari User Principals (UPN's)
Ambari maakt gebruikers principals in de vorm $ -$ @$ en gebruikt vervolgens hadoop.security.auth_to_local in core-site.xml om de principals toe te passen in slechts $ op het bestandssysteem.
Nadat u de juiste principals hebt geconfigureerd, drukt u op 'Next'. Druk in het scherm 'Confirm Configuration' op 'Next'.
Stop Services/Kerberize Cluster
Stoppen en kerberizing van services zou moeten slagen.
Ga niet verder: Isilon staat Ambari niet toe om keytabs te maken voor Isilon principals. In plaats daarvan moet u Kerberos handmatig configureren op Isilon met behulp van de onderstaande stappen.
a) KDC maken als een Isilon auth-provider
Opmerking: Als deze Isilon zone al is geconfigureerd om uw MIT KDC te gebruiken, kunt u deze stappen overslaan.
isi auth krb5 create --realm=$REALM --admin-server=$admin_server --kdc=$kdc_server --user=$admin_principal --password=$admin_password
isi zone zones modify --zone=$isilon_zone --add-auth-provider=krb5:$REALM
b) Maak service principals voor HDFS en HTTP (voor WebHDFS).
isi auth krb5 spn create --provider-name=$REALM --spn=hdfs/$isilon_smartconnect@$REALM --user=$admin_principal --password=$admin_password
isi auth krb5 spn create --provider-name=$REALM --spn=HTTP/$isilon_smartconnect@$REALM --user=$admin_principal --password=$admin_password
c) Noodzakelijke proxygebruikers maken
In onbeveiligde clusters kan elke gebruiker zich voordoen als een andere gebruiker. In beveiligde clusters moeten proxygebruikers expliciet worden gespecificeerd.
Als u Hive of Oozie hebt, voegt u de juiste proxygebruikers toe.
isi hdfs proxyusers create oozie --zone=$isilon_zone --add-user=ambari-qa
isi hdfs proxyusers create hive --zone=$isilon_zone --add-user=ambari-qa
d) Eenvoudige verificatie uitschakelen
Alleen kerberos- of overdrachtstokenauthenticatie is toegestaan.
isi hdfs-instellingen wijzigen --zone=$isilon_zone --authentication-mode=kerberos_only
Nu Isilon ook is geconfigureerd, drukt u op 'Next' in Ambari om door te gaan naar de laatste stap van de wizard.
Start- en testservices
Als services niet starten, zijn hier enkele trucs voor het opsporen van Kerberos-problemen:
In HDFS -> Aangepaste core-siteset "hadoop.rpc.protection" op "integriteit" of "privacy". Naast authenticatie garandeert integriteit dat berichten niet zijn geknoeid en versleutelt privacy alle berichten.
Voer een taak uit!
Probeer vanaf elke clienthost een MapReduce-taak!
kinit <some-user> yarn jar /usr/hdp/current/hadoop-mapreduce-client/hadoop-mapreduce-examples.jar pi 1 1000
Job Finished in 37.635 seconds
Estimated value of Pi is 3.14800000000000000000
Congratulations--you have secured your cluster with Kerberos!
(Optioneel) Kerberos uitschakelen
Isilon opschonen
U moet Eerst Isilon opruimen. Dit is in feite het omgekeerde van het inschakelen van Kerberos.
a) Kerberos-authenticatie uitschakelen
isi hdfs settings modify --authentication-mode=simple_only --zone=$isilon_zone
b) Proxygebruikers verwijderen
isi hdfs proxyusers delete oozie --zone=$isilon_zone
isi hdfs proxyusers delete hive --zone=$isilon_zone
c) Principals verwijderen
isi auth krb5 spn delete --provider-name=$REALM --spn=hdfs/$isilon_smartconnect@$REALM --all
isi auth krb5 spn delete --provider-name=$REALM --spn=HTTP/$isilon_smartconnect@$REALM --all
Houd er rekening mee dat de bovenstaande opdrachten deze principals alleen uit Isilon verwijderen, maar ze niet uit de KDC verwijderen. Gebruik deze opdrachten om de Isilon principals uit de KDC te verwijderen:
kadmin -p $admin_principal
kadmin: delete_principal hdfs/$isilon_smartconnect@$REALM
kadmin: delete_principal HTTP/$isilon_smartconnect@$REALM
d) KDC verwijderen als Isilon authenticatieprovider
isi zone zones modify --zone=$isilon_zone --remove-auth-provider=krb5:$REALM
isi auth krb5 delete --provider-name=$REALM
Clients opschonen met behulp van Ambari
Druk op "Disable Kerberos" in Admin -> Kerberos. Alle services moeten groen worden.