两个Hadoop集群开启Kerberos验证后,集群间不能够相互访问,需要实现Kerberos之间的互信,使用Hadoop集群A的客户端访问Hadoop集群B的服务(实质上是使用Kerberos Realm A上的Ticket实现访问Realm B的服务)。
先决条件:
1)两个集群(XDF.COM和HADOOP.COM)均开启Kerberos认证
2)Kerberos的REALM分别设置为XDF.COM和HADOOP.COM
步骤如下:

1 配置KDC之间的信任ticket

实现DXDF.COMHADOOP.COM之间的跨域互信,例如使用XDF.COM的客户端访问HADOOP.COM中的服务,两个REALM需要共同拥有名为krbtgt/HADOOP.COM@XDF.COM的principal,两个Keys需要保证密码,version number和加密方式一致。默认情况下互信是单向的, HADOOP.COM的客户端访问XDF.COM的服务,两个REALM需要有krbtgt/XDF.COM@HADOOP.COM的principal。
向两个集群中添加krbtgt principal

  #XDF CLUSTER

  kadmin.local: addprinc –e “aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal ” krbtgt/HADOOP.COM@XDF.COM

  kadmin.local: addprinc –e “aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal ”  krbtgt/XDF.COM@HADOOP.COM

  #HADOOP CLUSTER

   kadmin.local: addprinc –e “aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal ” krbtgt/HADOOP.COM@XDF.COM

   kadmin.local: addprinc –e “aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal ”  krbtgt/XDF.COM@HADOOP.COM

要验证两个entries具有匹配的kvno和加密type,查看命令使用getprinc <principal_name>

kadmin.local:  getprinc  krbtgt/XDF.COM@HADOOP.COM

Principal: krbtgt/XDF.COM@HADOOP.COM

Expiration date: [never]

Last password change: Wed Jul 05 14:18:11 CST 2017

Password expiration date: [none]

Maximum ticket life: 1 day 00:00:00

Maximum renewable life: 30 days 00:00:00

Last modified: Wed Jul 05 14:18:11 CST 2017 (admin/admin@XDF.COM)

Last successful authentication: [never]

Last failed authentication: [never]

Failed password attempts: 0

Number of keys: 7

Key: vno 1, aes128-cts-hmac-sha1-96

Key: vno 1, des3-cbc-sha1

Key: vno 1, arcfour-hmac

Key: vno 1, camellia256-cts-cmac

Key: vno 1, camellia128-cts-cmac

Key: vno 1, des-hmac-sha1

Key: vno 1, des-cbc-md5

MKey: vno 1

Attributes:

Policy: [none]

kadmin.local:  getprinc  addprinc krbtgt/HADOOP.COM@XDF.COM

usage: get_principal [-terse] principal

kadmin.local:  getprinc  krbtgt/HADOOP.COM@XDF.COM

Principal: krbtgt/HADOOP.COM@XDF.COM

Expiration date: [never]

Last password change: Wed Jul 05 14:17:47 CST 2017

Password expiration date: [none]

Maximum ticket life: 1 day 00:00:00

Maximum renewable life: 30 days 00:00:00

Last modified: Wed Jul 05 14:17:47 CST 2017 (admin/admin@XDF.COM)

Last successful authentication: [never]

Last failed authentication: [never]

Failed password attempts: 0

Number of keys: 7

Key: vno 1, aes128-cts-hmac-sha1-96

Key: vno 1, des3-cbc-sha1

Key: vno 1, arcfour-hmac

Key: vno 1, camellia256-cts-cmac

Key: vno 1, camellia128-cts-cmac

Key: vno 1, des-hmac-sha1

Key: vno 1, des-cbc-md5

MKey: vno 1

Attributes:

Policy: [none]

2 在core-site中配置principal和user的映射RULES

 
Paste_Image.png

设置hadoop.security.auth_to_local参数,该参数用于将principal转变为user,一个需要注意的问题是SASL RPC客户端需要远程Server的Kerberos principal在本身的配置中匹配该principal。相同的pricipal name需要分配给源和目标cluster的服务,例如Source Cluster中的NameNode的kerbeors principal name为nn/h@XDF.COM,在Destination cluster中NameNode的pricipal设置为nn/h@HADOOP.COM(不能设置为nn2/h***@HADOOP.COM),例如:
在XDF Cluster和 HADOOP Cluster的core-site中增加:

<property>

<name>hadoop.security.auth_to_local</name>

<value>

RULE:[1:$1@$0](^.*@HADOOP\.COM$)s/^(.*)@HADOOP\.COM$/$1/g

RULE:[2:$1@$0](^.*@HADOOP\.COM$)s/^(.*)@HADOOP\.COM$/$1/g

RULE:[1:$1@$0](^.*@XDF\.COM$)s/^(.*)@XDF\.COM$/$1/g

RULE:[2:$1@$0](^.*@XDF\.COM$)s/^(.*)@XDF\.COM$/$1/g

DEFAULT

</value>

</property>

使用hadoop org.apache.hadoop.security.HadoopKerberosName <principal-name>来实现验证,例如:

[root@node1a141 ~]#  hadoop org.apache.hadoop.security.HadoopKerberosName hdfs/nodea1a141@XDF.COM

Name: hdfs/nodea1a141@XDF.COM to hdfs

3 在krb5.conf中配置信任关系

3.1 配置capaths

第一种方式是配置shared hierarchy of names,这个是默认及比较简单的方式,第二种方式是在krb5.conf文件中改变capaths,复杂但是比较灵活,这里采用第二种方式。
在两个集群的节点的/etc/krb5.conf文件配置domain和realm的映射关系,例如:在XDF cluster中配置:

[capaths]

       XDF.COM = {

              HADOOP.COM = .

       }

在HADOOP Cluster中配置:

 [capaths]

       HADOOP.COM = {

              XDF.COM = .

       }

配置成'.'是表示没有intermediate realms

3.2 配置realms

为了是XDF 可以访问HADOOP的KDC,需要将HADOOP的KDC Server配置到XDF cluster中,如下,反之相同:

 [realms]

  XDF.COM = {

    kdc = {host}.XDF.COM:88

    admin_server = {host}.XDF.COM:749

    default_domain = XDF.COM

  }

  HADOOP.COM = {

    kdc = {host}.HADOOP.COM:88

    admin_server = {host}.HADOOP.COM:749

    default_domain = HADOOP.COM

  }

3.3 配置domain_realm

在domain_realm中,一般配置成'.XDF.COM'和'XDF.COM'的格式,'.'前缀保证kerberos将所有的XDF.COM的主机均映射到XDF.COM realm。但是如果集群中的主机名不是以XDF.COM为后缀的格式,那么需要在domain_realm中配置主机与realm的映射关系,例XDF.nn.local映射为XDF.COM,需要增加XDF.nn.local = XDF.COM。

[domain_realm]

.hadoop.com=HADOOP.COM

 hadoop.com=HADOOP.COM

 .xdf.com=XDF.COM

 xdf.com=XDF.COM

 node1a141 = XDF.COM

 node1a143 = XDF.COM

 node1a210 = HADOOP.COM

 node1a202 = HADOOP.COM

 node1a203 = HADOOP.COM

重启kerberos服务

3.4 配置hdfs-site.xml

在hdfs-site.xml,设置允许的realms
在hdfs-site.xml中设置dfs.namenode.kerberos.principal.pattern为"*"

 
Paste_Image.png

这个是客户端的匹配规则用于控制允许的认证realms,如果该参数不配置,会有下面的异常:

java.io.IOException: Failed on local exception: java.io.IOException:

java.lang.IllegalArgumentException:

       Server has invalid Kerberosprincipal:nn/ HADOOP.COM@ XDF.COM;

       Host Details : local host is: "host1.XDF.COM/10.181.22.130";

                        destination host is: "host2.HADOOP.COM":8020;

4 测试

1)使用hdfs命令测试XDF 和HADOOP 集群间的数据访问,例如在XDF Cluster中kinit admin@XDF.CON,然后运行hdfs命令:

[root@node1a141 ~]# kdestroy

[root@node1a141 ~]# kinit admin

Password for admin@XDF.COM:

[root@node1a141 ~]# hdfs dfs -ls /

Found 3 items

drwxrwxrwx+  - hdfs supergroup          0 2017-06-13 15:13 /tmp

drwxrwxr-x+  - hdfs supergroup          0 2017-06-22 15:55 /user

drwxrwxr-x+  - hdfs supergroup          0 2017-06-14 14:11 /wa

[root@node1a141 ~]# hdfs dfs -ls hdfs://node1a202:8020/

Found 9 items

drwxr-xr-x   - root  supergroup          0 2017-05-27 18:55 hdfs://node1a202:8020/cdtest

drwx------   - hbase hbase               0 2017-05-22 18:51 hdfs://node1a202:8020/hbase

drwx------   - hbase hbase               0 2017-07-05 19:16 hdfs://node1a202:8020/hbase1

drwxr-xr-x   - hbase hbase               0 2017-05-11 10:46 hdfs://node1a202:8020/hbase2

drwxr-xr-x   - root  supergroup          0 2016-12-01 17:30 hdfs://node1a202:8020/home

drwxr-xr-x   - mdss  supergroup          0 2016-12-13 18:30 hdfs://node1a202:8020/idfs

drwxr-xr-x   - hdfs  supergroup          0 2017-05-22 18:51 hdfs://node1a202:8020/system

drwxrwxrwt   - hdfs  supergroup          0 2017-05-31 17:37 hdfs://node1a202:8020/tmp

drwxrwxr-x+  - hdfs  supergroup          0 2017-05-04 15:48 hdfs://node1a202:8020/user

在HADOOP.COM中进行相同的操作
2)运行distcp程序将XDF的数据复制到HADOOP集群,命令如下:

[root@node1a141 ~]# hadoop distcp hdfs://node1a141:8020/tmp/test.sh  hdfs://node1a202:8020/tmp/

5 附录

两集群的/etc/krb5.conf完整文件内容如下:

[root@node1a141 xdf]# cat /etc/krb5.conf

[logging]

 default = FILE:/var/log/krb5libs.log

 kdc = FILE:/var/log/krb5kdc.log

 admin_server = FILE:/var/log/kadmind.log

[libdefaults]

 default_realm = XDF.COM

 dns_lookup_realm = false

 dns_lookup_kdc = false

 ticket_lifetime = 7d

 renew_lifetime = 30

 forwardable = true

 renewable=true

 #default_ccache_name = KEYRING:persistent:%{uid}

[realms]

 HADOOP.COM = {

   kdc = node1a198

   admin_server = node1a198

   default_realm = HADOOP.COM

   supported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal

 }

 XDF.COM = {

   kdc = node1a141

   admin_server = node1a141

   default_realm = XDF.COM

   supported_enctypes = aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal

 }

[domain_realm]

 .hadoop.com=HADOOP.COM

 hadoop.com=HADOOP.COM

 .xdf.com=XDF.COM

 xdf.com=XDF.COM

 node1a141 = XDF.COM

 node1a143 = XDF.COM

 node1a210 = HADOOP.COM

 node1a202 = HADOOP.COM

 node1a203 = HADOOP.COM

[capaths]

XDF.COM = {

 HADOOP.COM = .

}

配置两个不同kerberos认证中心的集群间的互信的更多相关文章

  1. nacos配置本地多个实例(伪集群)

    在本地配置多个nacos实例(伪集群),一般就是配置多个nacos端口,并启动多个startup.sh脚本.网上一些博客通过修改startup.sh脚本来指定不同nacos端口,比如:./startu ...

  2. hadoop集群间的hdfs文件拷贝

    1.背景 部门有个需求,在网络互通的情况下,把现有的hadoop集群(未做Kerberos认证,集群名为:bd-stg-hadoop)的一些hdfs文件拷贝到新的hadoop集群(做了Kerberos ...

  3. 相同版本的CDH集群间迁移hdfs以及hbase

    前言 由于项目数据安全的需要,这段时间看了下hadoop的distcp的命令使用,不断的纠结的问度娘,度娘告诉我的结果也让我很纠结,都是抄来抄去, 还好在牺牲大量的时间的基础上还终于搞出来了,顺便写这 ...

  4. Zookeeper的基本原理(zk架构、zk存储结构、watch机制、独立安装zk、集群间同步复制)

    1.Hbase集群的高可用性与伸缩性 HBase可以实现对Regionserver的监控,当个别Regionserver不可访问时,将其负责的分区分给其他Regionsever,其转移过程较快,因为只 ...

  5. Java之JVM调优案例分析与实战(2) - 集群间同步导致的内存溢出

    环境:一个基于B/S的MIS系统,硬件为两台2个CPU.8GB内存的HP小型机,服务器是WebLogic 9.2,每台机器启动了3个WebLogic实例,构成一个6个节点的亲合式集群. 说明:由于是亲 ...

  6. 基于uReplicator复制的kafka主备集群间的切换策略

    一.概述 目前基于中间件uReplicator实现了kafka集群间的迁移复制,可以实现跨区.跨云的kafka集群间复制同步,也可以实现kafka集群的冷热互备架构:在实现集群间同步以后,需要解决一个 ...

  7. 用隧道协议实现不同dubbo集群间的透明通信

    用隧道协议实现不同dubbo集群间的透明通信 前言 笔者最近完成了一个非常有意思的隧道机制(已在产线运行),可以让注册到不同zookeeper之间的dubbo集群之间能够正常进行通信.如下图所示: 例 ...

  8. hbase 学习(十三)集群间备份原理

    集群建备份,它是master/slaves结构式的备份,由master推送,这样更容易跟踪现在备份到哪里了,况且region server是都有自己的WAL 和HLog日志,它就像mysql的主从备份 ...

  9. presto集成kerberos以及访问集成了kerberos的hive集群

    1.创建主体 注: 192.168.0.230 为单节点集群 192.168.4.50为kdc服务器 192.168.0.9为客户端 1.1.Kdc服务器创建主体 # kadmin.local -q ...

随机推荐

  1. C# Form 实现桌面弹幕

    使用C# Form 简单的实现了弹幕效果 0. 源代码 : https://github.com/ping9719/-desktop-barrage- 1.创建一个Form 设置  2.添加一个计时器 ...

  2. c# MVC5(一) 初步认识以及新建mvc

    一:MVC5初始 1:广义MVC(Model--View-Controller): V是界面 : M是数据和逻辑 : C是控制,把M和V链接起来: 是程序设计模式,一种设计理念,可以有效的分离界面和业 ...

  3. 【IDE_IntelliJ IDEA】在Intellij IDEA中使用Debug

    转载博客:在Intellij IDEA中使用Debug

  4. 09-赵志勇机器学习-k-means

    (草稿) k-means: 1. 随机选取n个中心 2. 计算每个点到各个中心的距离 3. 距离小于阈值的归成一类. 4. 计算新类的质心,作为下一次循环的n个中心 5. 直到新类的质心和对应本次循环 ...

  5. Navicat Premium永久激活方式

    今天安装完Navicat Premium,运行时出现只能用14天的信息,所以就比较生气,只能用14天,那我还下你干啥,所以就查教程,弄了个破解工具,最后大功告成,应该是可以永久使用了,具体的教程看下 ...

  6. Win10解决修改host没有权限问题(其他文件同理) 一步都不能少哦:先添加再授权

    Step1:右键文件选择属性,选择安全,点击编辑: Step2:在弹窗中点击添加,在弹窗中点击高级: Step3:在弹窗中点击立即查找,选中当前用户,点击确定: Step4:此时选中用户已经被加入进来 ...

  7. wireshark-wincap安装问题

    winpcap关键模块 32位系统: C:\Windows\system32\wpcap.dll C:\Windows\system32\Packet.dll C:\Windows\system32\ ...

  8. 【CSP-S膜你考】我们的可可西里

    我们的可可西里 题面 转眼到了2008年的6月9日,盼望已久的高考结束了.我们踏上了向西的旅程(本来是想写西去之路,可是考虑不太妥当).可可西里,多么诱人的名词,充满了奇幻的色彩和自然的淳朴.从可可西 ...

  9. Python之那些好玩的图画

    前言: matplotlib 是Python最著名的绘图库,它提供了一整套和matlab相似的命令API,十分适合交互式地进行制图.本文将以例子的形式分析matplot中支持的,分析中常用的几种图.其 ...

  10. iptables 的几个状态

    iptables的状态跟踪连接有4种,分别是:NEW.ESTABLISHED.RELATED.INVALID,除了从本机出去的数据包有NAT表的OUTPUT链处理外,其它所有的状态跟踪都在NAT表中的 ...