Kerberos学习(三)-创新互联

继续说一下Kerberos与Hadoop的集成。

建网站原本是网站策划师、网络程序员、网页设计师等,应用各种网络程序开发技术和网页设计技术配合操作的协同工作。创新互联建站专业提供成都网站建设、成都做网站,网页设计,网站制作(企业站、响应式网站、电商门户网站)等服务,从网站深度策划、搜索引擎友好度优化到用户体验的提升,我们力求做到极致!

其实这个话题在网上已经很普遍了,没什么太新鲜的。就是顺带说一下吧,Hadoop账号的集成与管理。

之前已经装了kdc和kadmin,所以接下来就需要创建hadoop相关的账号了。

首先需要用kadmin进入kerberos管理prompt,这里需要输入之前创建的admin账号的密码。

然后就可以创建了,用 ? 可以查看允许使用的命令。比如我们创建如下账号。

addprinc -randkey hdfs/master.hadoop@HADOOP.COM
xst -k hdfs.keytab
addprinc -randkey HTTP/master.hadoop@HADOOP.COM
xst -k HTTP.keytab
#生成了两个账号及其keytab,然后退出prompt回到shell。进入ktutil
rkt hdfs.keytab
rkt HTTP.keytab
wkt hdfs.keytab
这样就把原始的hdfs.keytab和HTTP.keytab合并成了新的hdfs.keytab

先创建与hdfs相关的账号,最后我们是要把这些账号创建成免密码的keytab文件的,在Hadoop里面,最好是把同一类服务创建成一个keytab,比如,hdfs和HTTP同属于hadoop的HDFS服务,所以,我们先创建这两个账号并将这两个账号的信息合并到一个keytab里面。


以此类推,可以创建yarn/master.hadoop@HADOOP.COM,mapred/master.hadoop@HADOOP.COM,oozie, hive...等等账号。

然后修改hdfs-site.xml,加入

  
    dfs.namenode.keytab.file
    hdfs.keytab
  
  
    dfs.namenode.kerberos.principal
    hdfs/_HOST@PG.COM
  
  
    dfs.namenode.kerberos.internal.spnego.principal
    HTTP/_HOST@PG.COM
  
  
    dfs.datanode.kerberos.principal
    hdfs/_HOST@PG.COM
  
  
    dfs.journalnode.kerberos.principal
    hdfs/_HOST@PG.COM
  
  
    dfs.journalnode.kerberos.internal.spnego.principal
    HTTP/_HOST@PG.COM
  
  
    dfs.cluster.administrators
    hdfs
  

以此类推,也可以把yarn/master.hadoop@HADOOP.COM的keytab与HTTP的keytab合并,还有mapred账号也可以合并,当然,前提是你需要用到spnego的http登录认证服务,如果不需要spnego,可以不添加HTTP的账号。至于什么是spnego,参看解释。

当然,前面创建账号和合并keytab的命令,你可以写成shell脚本让他自动完成。

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


分享题目:Kerberos学习(三)-创新互联
链接URL:http://myzitong.com/article/iigoj.html