在Ambari组件中启用kerberos权限认证
环境：Amabri 2.5.1、HDP 2.5.3、CentOS 6.9
下载JCE并解压
JCE下载地址是：

http：//www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html

解压到jdk security

unzip -o -j -q jce_policy-8.zip -d /usr/java/jdk1.8.0_151/jre/lib/security

在所有的节点上安装KRB5

yum install krb5-server krb5-libs krb5-auth-dialog krb5-workstation -y

修改配置文件

[logging]
 default = FILE:/var/log/krb5libs.log #表示server端的日志打印位置
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = EXAMPLE.COM#默认的realm，要与配置的realm名称一致
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h #表明凭证生效的时效，一般为24小时
 renew_lifetime = 7d #表明凭证最长可以被延期的时限，一般为7天
forwardable = true

[realms]
 EXAMPLE.COM = {
  kdc = kerberos.example.com #代表kdc所在的位置
  admin_server = kerberos.example.com #代表admin说所在的位置
 }

[domain_realm]
 .example.com = EXAMPLE.COM
 example.com = EXAMPLE.COM

修改

[realms]
 EXAMPLE.COM = {
  kdc = ambari1.node.com #代表kdc所在的位置
  admin_server = ambari1.node.com #代表admin说所在的位置
 }

拷贝到从节点

创建Kerberos 数据库

创建管理员

kadmin.local -q "addprinc admin/admin"

给管理员账户添加ACL权限

cat /var/kerberos/krb5kdc/kadm5.acl 

设置开机自动启动

service krb5kdc start
service kadmin start
chkconfig krb5kdc on
chkconfig kadmin on

在客户端测试连接

kadmin -p admin/admin

重启服务器

ambari-server restart

在ambari界面启用kerberos


选第一个选项

按之前配置的填好kdc以及Kadmin，填好后一定要Test KDC Connection，通了之后再进行下一步

等kerberos自动安装和测试通过后点next即可

之后的保持默认不做修改一直点next即可




安装完成