Передумови
Увімкнути Kerberos
Попереднє налаштування
Перед запуском майстра необхідно встановити дві конфігурації і перезапустити всі служби.Початок роботи
Перейдіть до Admin -> Kerberos і натисніть кнопку "Увімкнути Kerberos". Заголовки цього розділу стосуються назв сторінок майстра Kerberos.Налаштування Kerberos / Встановлення та тестування клієнта Kerberos
Заповніть усі дані KDC та сервера адміністрування. На кроці 3 (Встановлення та тестування клієнта Kerberos) сервер Ambari виконає тест на дим, щоб переконатися, що ви правильно налаштували Kerberos.
Налаштування профілів / Підтвердження конфігурації
a) Реєстраційні записи користувачів Ambari (UPN)
Ambari створює реєстраційні записи користувачів у формі $ -$ @$ , а потім використовує hadoop.security.auth_to_local у core-site.xml щоб відобразити їх у $ у файловій системі.
Після налаштування відповідних принципалів натискаємо «Далі». На екрані «Підтвердити конфігурацію» натисніть «Далі».
Stop Services / Kerberize Cluster
Зупинка та Kerberizing сервіси мають бути успішними.
Не продовжуйте: Isilon не дозволяє Ambari створювати клавіатури для реєстраційних записів Isilon. Натомість вам слід вручну налаштувати Kerberos на Isilon за допомогою наведених нижче кроків.
a) Створити KDC як постачальника автентифікації Isilon
Примітка. Якщо ця зона Isilon вже налаштована на використання вашого MIT KDC, ви можете пропустити ці кроки.
isi auth krb5 create --realm=$REALM --admin-server=$admin_server --kdc=$kdc_server --user=$admin_principal --password=$admin_password
isi zone zones modify --zone=$isilon_zone --add-auth-provider=krb5:$REALM
b) Створення реєстраційних записів служб для HDFS та HTTP (для WebHDFS).
isi auth krb5 spn create --provider-name=$REALM --spn=hdfs/$isilon_smartconnect@$REALM --user=$admin_principal --password=$admin_password
isi auth krb5 spn create --provider-name=$REALM --spn=HTTP/$isilon_smartconnect@$REALM --user=$admin_principal --password=$admin_password
c) Створіть будь-яких необхідних проксі-користувачів
У незахищених кластерах будь-який користувач може видавати себе за будь-якого іншого користувача. У захищених кластерах користувачів проксі потрібно явно вказати.
Якщо у вас є Hive або Oozie, додайте відповідних проксі-користувачів.
isi hdfs proxyusers create oozie --zone=$isilon_zone --add-user=ambari-qa
isi hdfs proxyusers create hive --zone=$isilon_zone --add-user=ambari-qa
d) Вимкніть просту автентифікацію
Дозволено лише автентифікацію за допомогою маркера делегування Kerberos або делегування.
Зміни параметрів ISI HDFS --zone=$isilon_zone --authentication-mode=kerberos_only
Тепер, коли Isilon також налаштовано, натисніть «Далі» в Ambari, щоб перейти до останнього кроку майстра.
Послуги запуску та тестування
Якщо служби не запускаються, ось кілька хитрощів для налагодження проблем з Kerberos:
У HDFS - Custom core-site> встановіть "hadoop.rpc.protection" значення "integrity" або "privacy". Окрім автентифікації, цілісність гарантує, що повідомлення не були підроблені, а конфіденційність шифрує всі повідомлення.
Виконуйте роботу!
З будь-якого клієнтського хостингу спробуйте завдання MapReduce!
kinit <some-user> yarn jar /usr/hdp/current/hadoop-mapreduce-client/hadoop-mapreduce-examples.jar pi 1 1000
Job Finished in 37.635 seconds
Estimated value of Pi is 3.14800000000000000000
Congratulations--you have secured your cluster with Kerberos!
(Необов'язково.) Вимкнення Kerberos
Очистіть Ісілон
Спочатку слід прибрати Ісілон. Це, по суті, протилежне ввімкненню Kerberos.
a) Вимкніть автентифікацію Kerberos
isi hdfs settings modify --authentication-mode=simple_only --zone=$isilon_zone
b) Видаліть усіх проксі-користувачів
isi hdfs proxyusers delete oozie --zone=$isilon_zone
isi hdfs proxyusers delete hive --zone=$isilon_zone
в) Вилучити реєстраційні записи
isi auth krb5 spn delete --provider-name=$REALM --spn=hdfs/$isilon_smartconnect@$REALM --all
isi auth krb5 spn delete --provider-name=$REALM --spn=HTTP/$isilon_smartconnect@$REALM --all
Зауважте, що наведені вище команди лише вилучають ці реєстраційні дані з Isilon, але не вилучають їх з KDC. Скористайтеся цими командами, щоб вилучити реєстраційні дані Isilon з KDC:
kadmin -p $admin_principal
kadmin: delete_principal hdfs/$isilon_smartconnect@$REALM
kadmin: delete_principal HTTP/$isilon_smartconnect@$REALM
d) Вилучити KDC як постачальника розпізнавання в Isilon
isi zone zones modify --zone=$isilon_zone --remove-auth-provider=krb5:$REALM
isi auth krb5 delete --provider-name=$REALM
Очищення клієнтів за допомогою Ambari
Натисніть "Вимкнути Kerberos" в Admin -> Kerberos. Всі послуги повинні бути зеленими.