在Ambari组件中启用kerberos权限认证
环境:Amabri 2.5.1、HDP 2.5.3、CentOS 6.9
下载JCE并解压
JCE下载地址是:
http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html
解压到jdk security
unzip -o -j -q jce_policy-8.zip -d /usr/java/jdk1.8.0_151/jre/lib/security
在所有的节点上安装KRB5
yum install krb5-server krb5-libs krb5-auth-dialog krb5-workstation -y
修改配置文件
[logging]
default = FILE:/var/log/krb5libs.log #表示server端的日志打印位置
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = EXAMPLE.COM#默认的realm,要与配置的realm名称一致
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h #表明凭证生效的时效,一般为24小时
renew_lifetime = 7d #表明凭证最长可以被延期的时限,一般为7天
forwardable = true
[realms]
EXAMPLE.COM = {
kdc = kerberos.example.com #代表kdc所在的位置
admin_server = kerberos.example.com #代表admin说所在的位置
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
修改
[realms]
EXAMPLE.COM = {
kdc = ambari1.node.com #代表kdc所在的位置
admin_server = ambari1.node.com #代表admin说所在的位置
}
拷贝到从节点
创建Kerberos 数据库
创建管理员
kadmin.local -q "addprinc admin/admin"
给管理员账户添加ACL权限
cat /var/kerberos/krb5kdc/kadm5.acl
设置开机自动启动
service krb5kdc start
service kadmin start
chkconfig krb5kdc on
chkconfig kadmin on
在客户端测试连接
kadmin -p admin/admin
重启服务器
ambari-server restart
在ambari界面启用kerberos
选第一个选项
按之前配置的填好kdc以及Kadmin,填好后一定要Test KDC Connection,通了之后再进行下一步
等kerberos自动安装和测试通过后点next即可
之后的保持默认不做修改一直点next即可
安装完成