Förutsättningar
Aktivera Kerberos
Förkonfiguration
Innan du startar guiden måste du ange två konfigurationer och starta om alla tjänster.Kom igång
Navigera till Admin -> Kerberos och tryck på knappen "Enable Kerberos". Rubrikerna i det här avsnittet hänvisar till rubrikerna på Kerberos-guidesidorna.Konfigurera Kerberos/installera och testa Kerberos-klienten
Fyll i all information om KDC- och administratörsservern. I steg 3 (installera och testa Kerberos-klienten) gör Ambari-servern ett röktest för att säkerställa att du har konfigurerat Kerberos korrekt.
Konfigurera identiteter/bekräfta konfiguration
a) Ambari-användarhuvudmän (UPN)
Ambari skapar användarhuvudmän i form av $ -$ @$ och använder sedan hadoop.security.auth_to_local i core-site.xml för att mappa befattningshavare till bara $ på filsystemet.
När du har konfigurerat lämpliga befattningshavare trycker du på Next (nästa). På skärmen Confirm Configuration (bekräfta konfiguration) trycker du på Next (nästa).
Stoppa tjänster/Kerberize-kluster
Det bör lyckas att stoppa och Kerberizing-tjänster.
Fortsätt inte: Isilon tillåter inte Ambari att skapa nyckelflikar för Isilon-befattningshavare. I stället måste du konfigurera Kerberos manuellt på Isilon med hjälp av stegen nedan.
a) Skapa KDC som Isilon-autentiseringsprovider
Obs! Om Isilon-zonen redan är konfigurerad för att använda DIN MIT KDC kan du hoppa över dessa steg.
isi auth krb5 create --realm=$REALM --admin-server=$admin_server --kdc=$kdc_server --user=$admin_principal --password=$admin_password
isi zone zones modify --zone=$isilon_zone --add-auth-provider=krb5:$REALM
b) Skapa tjänstehuvuden för HDFS och HTTP (för WebHDFS).
isi auth krb5 spn create --provider-name=$REALM --spn=hdfs/$isilon_smartconnect@$REALM --user=$admin_principal --password=$admin_password
isi auth krb5 spn create --provider-name=$REALM --spn=HTTP/$isilon_smartconnect@$REALM --user=$admin_principal --password=$admin_password
c) Skapa alla nödvändiga proxyanvändare
I osäkra kluster kan alla användare utge sig för att vara en annan användare. I säkra kluster måste proxyanvändare uttryckligen anges.
Om du har Hive eller Oogall lägger du till rätt proxyanvändare.
isi hdfs proxyusers create oozie --zone=$isilon_zone --add-user=ambari-qa
isi hdfs proxyusers create hive --zone=$isilon_zone --add-user=ambari-qa
d) Avaktivera enkel autentisering
Endast Kerberos- eller delegeringstokenautentisering tillåts.
isi hdfs-inställningarna ändrar --zone=$isilon_zone --authentication-mode=kerberos_only
Nu när Isilon också har konfigurerats trycker du på "Next" i Ambari för att gå vidare till det sista steget i guiden.
Start- och testtjänster
Om tjänsterna inte startar, här är några knep för felsökning av Kerberos-problem:
I HDFS –> Custom core-site set "hadoop.rpc.protection" till "integrity" eller "privacy". Utöver autentisering garanterar integritetsgarantier att meddelanden inte har manipulerats och integritetskryptering av alla meddelanden.
Kör ett jobb!
Försök med ett MapReduce-jobb från alla klientvärdar!
kinit <some-user> yarn jar /usr/hdp/current/hadoop-mapreduce-client/hadoop-mapreduce-examples.jar pi 1 1000
Job Finished in 37.635 seconds
Estimated value of Pi is 3.14800000000000000000
Congratulations--you have secured your cluster with Kerberos!
(Tillval) Avaktivera Kerberos
Rensa Isilon
Du bör först rensa Isilon. Det här är i princip det motsatta med att aktivera Kerberos.
a) Avaktivera Kerberos-autentisering
isi hdfs settings modify --authentication-mode=simple_only --zone=$isilon_zone
b) Ta bort alla proxyanvändare
isi hdfs proxyusers delete oozie --zone=$isilon_zone
isi hdfs proxyusers delete hive --zone=$isilon_zone
c) Ta bort befattningshavare
isi auth krb5 spn delete --provider-name=$REALM --spn=hdfs/$isilon_smartconnect@$REALM --all
isi auth krb5 spn delete --provider-name=$REALM --spn=HTTP/$isilon_smartconnect@$REALM --all
Observera att ovanstående kommandon endast tar bort dessa befattningshavare från Isilon, men ta inte bort dem från KDC. Använd följande kommandon för att ta bort Isilon-befattningshavare från KDC:
kadmin -p $admin_principal
kadmin: delete_principal hdfs/$isilon_smartconnect@$REALM
kadmin: delete_principal HTTP/$isilon_smartconnect@$REALM
d) Ta bort KDC som Isilon-autentiseringsprovider
isi zone zones modify --zone=$isilon_zone --remove-auth-provider=krb5:$REALM
isi auth krb5 delete --provider-name=$REALM
Rensa klienter med hjälp av Ambari
Tryck på Disable Kerberos (avaktivera Kerberos) i Admin -> Kerberos. Alla tjänster bör vara gröna.