Forhåndskrav
Aktiver Kerberos
Forhåndskonfigurasjon
Før du starter veiviseren, må du angi to konfigurasjoner og starte alle tjenestene på nytt.Kom i gang
Naviger til Admin - Kerberos (Administrator –> Kerberos ), og trykk på knappen Enable Kerberos (Aktiver Kerberos). Titlene i denne delen viser til titlene på Kerberos-veivisersidene.Konfigurere Kerberos/installere og teste Kerberos-klient
Fyll ut all KDC- og administratorserverinformasjon. På trinn 3 (installer og test Kerberos Client) utfører Ambari-serveren en røyktest for å sikre at du konfigurerte Kerberos på riktig måte.
Konfigurere identiteter / bekrefte konfigurasjon
a) Ambari User Principals (UPNs)
Ambari oppretter brukerledere i form $ -$ @$ , og bruker deretter hadoop.security.auth_to_local i core-site.xml for å tilordne hovedstolene til bare $ på filsystemet.
Når du har konfigurert de aktuelle overordnetne, trykker du på "Next" (Neste). I skjermbildet "Confirm Configuration" (Bekreft konfigurasjon) trykker du på "Next" (Neste).
Stopp tjenester / Kerberize-klynge
Stopp- og Kerberizing-tjenester skal lykkes.
Ikke fortsett: Isilon tillater ikke at Ambari oppretter taster for Isilon-ledere. I stedet må du konfigurere Kerberos på Isilon manuelt ved hjelp av trinnene nedenfor.
a) Opprette KDC som en Isilon-godkjenningsleverandør
Merk: Hvis denne Isilon-sonen allerede er konfigurert til å bruke ENCRSCDC, kan du hoppe over disse trinnene.
isi auth krb5 create --realm=$REALM --admin-server=$admin_server --kdc=$kdc_server --user=$admin_principal --password=$admin_password
isi zone zones modify --zone=$isilon_zone --add-auth-provider=krb5:$REALM
b) Opprette serviceledere for HDFS og HTTP (for WebHDFS).
isi auth krb5 spn create --provider-name=$REALM --spn=hdfs/$isilon_smartconnect@$REALM --user=$admin_principal --password=$admin_password
isi auth krb5 spn create --provider-name=$REALM --spn=HTTP/$isilon_smartconnect@$REALM --user=$admin_principal --password=$admin_password
c) Opprett alle nødvendige proxy-brukere
I usikrede klynger kan alle brukere utgi seg for å være andre brukere. I sikre klynger må proxy-brukere angis eksplisitt.
Hvis du har Hive eller Oozie, legger du til de aktuelle proxy-brukerne.
isi hdfs proxyusers create oozie --zone=$isilon_zone --add-user=ambari-qa
isi hdfs proxyusers create hive --zone=$isilon_zone --add-user=ambari-qa
d) Deaktiver enkel autentisering
Bare Kerberos- eller delegeringstokengodkjenning er tillatt.
isi hdfs settings modify --zone=$isilon_zone --authentication-mode=kerberos_only
Nå som Isilon også er konfigurert, trykker du på Neste i Ambari for å gå videre til det siste trinnet i veiviseren.
Start- og testtjenester
Hvis tjenestene ikke starter, kan du se noen triks for feilsøking av Kerberos-problemer:
I HDFS –> Tilpasset kjerneanlegg sett "hadoop.rpc.protection" til "integritet" eller "personvern". I tillegg til godkjenning har integritetsgarantier meldinger ikke blitt tuklet med, og personvern krypterer alle meldinger.
Kjør en jobb!
Prøv en MapReduce-jobb fra en hvilken som helst klientvert!
kinit <some-user> yarn jar /usr/hdp/current/hadoop-mapreduce-client/hadoop-mapreduce-examples.jar pi 1 1000
Job Finished in 37.635 seconds
Estimated value of Pi is 3.14800000000000000000
Congratulations--you have secured your cluster with Kerberos!
(Valgfritt) Deaktiver Kerberos
Rengjøre Isilon
Du bør rydde opp i Isilon først. Dette er i hovedsak den invertere for å aktivere Kerberos.
a) Deaktiver Kerberos-godkjenning
isi hdfs settings modify --authentication-mode=simple_only --zone=$isilon_zone
b) Slett alle proxy-brukere
isi hdfs proxyusers delete oozie --zone=$isilon_zone
isi hdfs proxyusers delete hive --zone=$isilon_zone
c) Slette ledere
isi auth krb5 spn delete --provider-name=$REALM --spn=hdfs/$isilon_smartconnect@$REALM --all
isi auth krb5 spn delete --provider-name=$REALM --spn=HTTP/$isilon_smartconnect@$REALM --all
Vær oppmerksom på at kommandoene ovenfor bare fjerner disse ledere fra Isilon, men ikke fjerner dem fra KDC. Bruk disse kommandoene til å fjerne Isilon-ledere fra KDC:
kadmin -p $admin_principal
kadmin: delete_principal hdfs/$isilon_smartconnect@$REALM
kadmin: delete_principal HTTP/$isilon_smartconnect@$REALM
d) Fjerne KDC som en Isilon-godkjenningsleverandør
isi zone zones modify --zone=$isilon_zone --remove-auth-provider=krb5:$REALM
isi auth krb5 delete --provider-name=$REALM
Rengjøre klienter ved hjelp av Ambari
Trykk på "Disable Kerberos" (Deaktiver Kerberos) i Admin - Kerberos( Administrator –> Kerberos). Alle tjenestene skal komme grønt opp.