Hadoop开启Kerberos安全模式,

基于已经安装好的Hadoop的2.7.1环境,

在此基础上开启Kerberos安全模式。

1.安装规划

已经安装好Hadoop的环境

10.43.159.7 zdh-7

hdfsone/zdh1234

Kerberos服务器

10.43.159.11 zdh-11

kerberos server

2.创建用户的keytab

在zdh-11上,用root用户在/root/keytabs目录下,

创建hdfsone的principal,并导出hdfsone.keytab,

创建HTTP的principal,并导出HTTP.keytab:

kadmin.local

addprinc -randkey hdfsone/zdh-7@ZDH.COM

addprinc -randkey HTTP/zdh-7@ZDH.COM

xst -k hdfsone.keytab hdfsone/zdh-7@ZDH.COM

xst -k HTTP.keytab HTTP/zdh-7@ZDH.COM

exit

3.合并上面2个keytab到hdfsone.keytab

ktutil

rkt hdfsone.keytab

rkt HTTP.keytab

wkt hdfsone.keytab

exit

4.将新生成的hdfsone.keytab拷贝到指定位置

首先在hdfsone上面创建目录/home/hdfsone/hadoop-2.7.1/etc/keytabs,

然后进入到/root/keytabs目录下,执行拷贝:

scp hdfsone.keytab hdfsone@zdh-7:/home/hdfsone/hadoop-2.7.1/etc/keytabs

5.修改keytab权限

chown hdfsone:hadoop hdfsone.keytab

chmod 400 hdfsone.keytab

6.修改core-site.xml文件

<property>

  <name>hadoop.security.authentication</name>

  <value>kerberos</value>

</property>

<property>

  <name>hadoop.security.authorization</name>

  <value>true</value>

</property>

7.修改hdfs-site.xml文件

<property>

  <name>dfs.block.access.token.enable</name>

  <value>true</value>

</property>

<property>

  <name>dfs.datanode.data.dir.perm</name>

  <value>700</value>

</property>

<property>

  <name>dfs.namenode.keytab.file</name>

  <value>/home/hdfsone/hadoop-2.7.1/etc/keytabs/hdfsone.keytab</value>

</property>

<property>

  <name>dfs.namenode.kerberos.principal</name>

  <value>hdfsone/_HOST@ZDH.COM</value>

</property>

<property>

  <name>dfs.namenode.kerberos.https.principal</name>

  <value>HTTP/_HOST@ZDH.COM</value>

</property>

<property>

  <name>dfs.datanode.address</name>

  <value>0.0.0.0:1004</value>

</property>

<property>

  <name>dfs.datanode.http.address</name>

  <value>0.0.0.0:1006</value>

</property>

<property>

  <name>dfs.datanode.keytab.file</name>

  <value>/home/hdfsone/hadoop-2.7.1/etc/keytabs/hdfsone.keytab</value>

</property>

<property>

  <name>dfs.datanode.kerberos.principal</name>

  <value>hdfsone/_HOST@ZDH.COM</value>

</property>

<property>

  <name>dfs.datanode.kerberos.https.principal</name>

  <value>HTTP/_HOST@ZDH.COM</value>

</property>

<property>

  <name>dfs.webhdfs.enabled</name>

  <value>true</value>

</property>

<property>

  <name>dfs.web.authentication.kerberos.principal</name>

  <value>HTTP/_HOST@ZDH.COM</value>

</property>

<property>

  <name>dfs.web.authentication.kerberos.keytab</name>

  <value>/home/hdfsone/hadoop-2.7.1/etc/keytabs/hdfsone.keytab</value>

</property>

注意:hdfs/_HOST@ZDH.COM不用手动修改,hadoop运行是自动替换成hdfs/zdh-7@ZDH.COM

8.启动hadoop

启动NameNode:

start-dfs.sh

开启Kerberos安全模式后,此命令只会启动NamdeNode,

所以还需要再次启动datanode:

/home/hdfsone/hadoop-2.7.1/sbin/hadoop-daemon.sh start datanode

9.问题处理

启动DataNode时发生如下异常:

2018-03-02 17:20:15,261 FATAL org.apache.hadoop.hdfs.server.datanode.DataNode: Exception in secureMain

java.lang.RuntimeException: Cannot start secure DataNode without configuring either privileged resources or SASL RPC data transfer protection and SSL for HTTP.  Using privileged resources in combination with SASL RPC data transfer protection is not supported.

        at org.apache.hadoop.hdfs.server.datanode.DataNode.checkSecureConfig(DataNode.java:1173)

        at org.apache.hadoop.hdfs.server.datanode.DataNode.startDataNode(DataNode.java:1073)

        at org.apache.hadoop.hdfs.server.datanode.DataNode.<init>(DataNode.java:428)

        at org.apache.hadoop.hdfs.server.datanode.DataNode.makeInstance(DataNode.java:2373)

        at org.apache.hadoop.hdfs.server.datanode.DataNode.instantiateDataNode(DataNode.java:2260)

        at org.apache.hadoop.hdfs.server.datanode.DataNode.createDataNode(DataNode.java:2307)

        at org.apache.hadoop.hdfs.server.datanode.DataNode.secureMain(DataNode.java:2484)

        at org.apache.hadoop.hdfs.server.datanode.DataNode.main(DataNode.java:2508)

2018-03-02 17:20:15,264 INFO org.apache.hadoop.util.ExitUtil: Exiting with status 1

2018-03-02 17:20:15,265 INFO org.apache.hadoop.hdfs.server.datanode.DataNode: SHUTDOWN_MSG:

解决办法:

当设置了安全的datanode时,启动datanode需要root权限,需要修改hadoop-env.sh文件.且需要安装jsvc,同时重新下载编译包commons-daemon-1.0.15.jar,并把$HADOOP_HOME/share/hadoop/hdfs/lib下替换掉.

否则报错Cannot start secure DataNode without configuring either privileged resources

9.1.编译安装JSVC

下载解压commons-daemon-1.0.15-src.tar.gz及commons-daemon-1.0.15-bin.tar.gz

操作命令:

wget http://apache.fayea.com//commons/daemon/binaries/commons-daemon-1.0.15-bin.tar.gz

wget http://apache.fayea.com//commons/daemon/source/commons-daemon-1.0.15-src.tar.gz

tar zxvf commons-daemon-1.0.15-src.tar.gz

tar zxvf commons-daemon-1.0.15-bin.tar.gz

编译生成jsvc,并拷贝至指定目录

cd commons-daemon-1.0.15-src/src/native/unix/

./configure

make

cp jsvc /home/hdfs/hadoop-3.0.0-alpha2-SNAPSHOT/libexec/

9.2.拷贝commons-daemon-1.0.15.jar

rm hadoop-3.0.0-alpha2-SNAPSHOT/share/hadoop/hdfs/lib/commons-daemon-*.jar

cp commons-daemon-1.0.15.jar hadoop-3.0.0-alpha2-SNAPSHOT/share/hadoop/hdfs/lib/

9.3.修改hadoop-env.sh文件

vi hadoop-env.sh

export HADOOP_SECURE_DN_USER=hdfs

export JSVC_HOME=/home/hdfs/hadoop-3.0.0-alpha2-SNAPSHOT/libexec

9.4.参考文章:

kerberos-hadoop配置常见问题汇总

Hadoop开启Kerberos安全模式的更多相关文章

  1. Sqoop2开启Kerberos安全模式

    Sqoop2开启Kerberos安全模式, 基于版本sqoop-1.99.7, 在已经安装好的sqoop2环境上配置kerberos. 1.安装规划 10.43.159.9 zdh-9 sqoop2k ...

  2. Ranger-AdminServer安装(开启Kerberos)

    Ranger-AdminServer安装, 同时开启Kerberos安全模式, 基于ranger版本0.7.0. 安装规划 10.43.159.240 zdh-240 10.43.159.245 zd ...

  3. Apache Hadoop配置Kerberos指南

    通常,一个Hadoop集群的安全使用kerberos来进行保障.在启用Kerberos后,需要用户进行身份验证.用户通过验证后可以使用GRANT/REVOKE语句来进行基于角色的访问控制.本文介绍一下 ...

  4. 【原创】大叔经验分享(41)hdfs开启kerberos之后报错Encryption type AES256 CTS mode with HMAC SHA1-96 is not supported/enabled

    hdfs开启kerberos之后,namenode报错,连不上journalnode 2019-03-15 18:54:46,504 WARN org.apache.hadoop.security.U ...

  5. Storm集群安装Version1.0.1开启Kerberos

    Storm集群安装,基于版本1.0.1, 同时开启Kerberos安全认证, 使用apache-storm-1.0.1.tar.gz安装包. 1.安装规划 角色规划 IP/机器名 安装软件 运行进程 ...

  6. Zookeeper集群安装(开启kerberos)

    安装规划 zookeeper集群模式,安装到如下三台机器 10.43.159.237 zdh-237 10.43.159.238 zdh-238 10.43.159.239 zdh-239 Kerbe ...

  7. Zookeeper单机安装(开启kerberos)

    安装规划 zookeeper安装到zdh41上面,单机模式 10.43.159.41 zdh41 ZDH.COM 安装用户 zookeeper/zdh1234 useradd -g hadoop -s ...

  8. hadoop的kerberos认证

    言归正传,介绍过hadoop的simple认证和kerberos后,我们在这一章介绍hadoop的kerberos认证 我们还使用hadoop集群的机器. OS 版本: Centos6.4 Kerbe ...

  9. Hadoop开启后jps显示只有jps

    之前在用Mapreduce写代码时,在DFS Location下的会报一个error,大体的意思就是与主机名相关的错误 然后我就觉得可能时Hadoop开启时出了错误,然后我就重启了Hadoop,jps ...

随机推荐

  1. 【Linux】【Shell】【Basic】流程控制

    1. 选择执行: 1.1. if 单分支的if语句: if 测试条件 then 代码分支 fi 双分支的if语句: if 测试条件; then 条件为真时执行的分支 else 条件为假时执行的分支 f ...

  2. MySQL索引及性能优化分析

    一.SQL性能下降的原因 查询语句问题,各种连接.子查询 索引失效(单值索引.复合索引) 服务器调优及各个参数设置(缓冲.线程池等) 二.索引 排好序的快速查找数据结构 1. 索引分类 单值索引 一个 ...

  3. ubuntu 使用mysql

    一: 安装: sudo apt-get install mysql-serversudo apt-get install mysql-clientsudo apt-get install libmys ...

  4. Gitlab-CICD实践篇

    一.背景 随着公司项目使用gitlab越来越多,业务发布的次数越来越频繁,对于发布效率提出了更高的要求.从2012开始,Gitlab官方开始集成了Continuous Integration (CI) ...

  5. apt和apt-get的区别

    目录 一.简介 二.apt vs apt-get 为什么apt首先被引入? apt和apt-get之间的区别 apt和apt-get命令之间的区别 我应该使用apt还是apt-get? 三.结论 一. ...

  6. Python绘制面积图

    一.Python绘制面积图对应代码如下图所示 import matplotlib.pyplot as plt from pylab import mpl mpl.rcParams['font.sans ...

  7. php常用的数组排序函数

    sort() 函数用于对数组单元从低到高进行排序.rsort() 函数用于对数组单元从高到低进行排序.asort() 函数用于对数组单元从低到高进行排序并保持索引关系.arsort() 函数用于对数组 ...

  8. 工作簿合并(Excel代码集团)

    同一文件夹内N个工作簿 ,每个工作簿里N个工作表,最终合并到一个工作表里的代码. 假设每个表格结构相同,第一行为标题,第二行为表头,表头内容固定,行数不固定,列固定14,工作表数量不固定,工作簿数量不 ...

  9. Django记录操作日志、LogEntry的使用

    LogEntry是在后台开发中经常用到的模块,它在admin是默认开启的. 可以使用LogEntry模块记录所有用户的操作记录.一方面可以用来监督,另一方面可以用来做回滚. 1. 使用LogEntry ...

  10. CF447B DZY Loves Strings 题解

    Content 有一个长度为 \(n\) 的仅含小写字母的字符串 \(s\) 以及 26 个英文小写字母的价值 \(W_\texttt{a},W_\texttt{b},...,W_\texttt{z} ...