[大数据]大数据集群 Kerberos 安装记录

server/client 端安装配置

在cdh05安装服务端

yum install -y krb5-server krb5-libs krb5-workstation krb5-devel krb5-auth-dialog

修改配置文件

vim /etc/krb5.conf

# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
 default_realm = GOME_TZGS.COM
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
GOME_TZGS.COM = {
   kdc = cdh05:88
   admin_server = cdh05:749
}
# EXAMPLE.COM = {
#  kdc = kerberos.example.com
#  admin_server = kerberos.example.com
# }

[domain_realm]
.gome_tzgs.com = GOME_TZGS.COM
gome_tzgs.com = GOME_TZGS.COM
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM

配置 /var/kerberos/krb5kdc/kdc.conf 文件

[root@cdh05 ~]# cat /var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 GOME_TZGS.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  max_life = 24h
  max_renewable_life = 7d
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }

配置/var/kerberos/krb5kdc/kadm5.acl文件

[root@cdh05 ~]# cat /var/kerberos/krb5kdc/kadm5.acl
*/admin@GOME_TZGS.COM   *

将配置文件同步到其他节点：

rsync cdh05:/etc/krb5.conf /etc/

创建生成kerberos的KDC数据库文件

kdb5_util create -s -r GOME_TZGS.COM

该命令会提示输入两次数据库密码，执行结束后会在 /var/kerberos/krb5kdc/目录下创建 principal 数据库，如果遇到数据库已经存在的提示，可以把 /var/kerberos/krb5kdc/ 目录下的 principal 的相关文件都删除掉，再次执行该命令即可。

启动kerberos服务

#启动krb5kdc服务
systemctl start krb5kdc
#启动kadmin服务
systemctl start kadmin
#启动完成后可以使用该命令查看kerberos服务是否启动正常
systemctl status krb5kdc kadmin

设置kdc、kadmin开机自启

systemctl enable krb5kdc kadmin

安装kerberos客户端

在除了安装kerberos服务器端所在节点外的其他节点上都必须执行下面的命令，安装kerberos客户端！
cdh01~cdh07 除cdh05外

#安装kerberos客户端
yum install -y krb5-devel krb5-workstation krb5-client

测试kerberos安装是否成功

在kdc服务端执行：

#手动输入两次密码，这里hadoop是新增的管理员名称，admin是管理员
kadmin.local -q "addprinc hadoop/admin"
或
#也可以不用手动输入密码，这里的两次root为密码
echo -e "root\nroot" | kadmin.local -q "addprinc hadoop/admin"

当然，也可以执行 kadmin.local 命令后命令行执行:

• 创建管理员，一般与Linux用户的用户名相同即可

addprinc admin/admin@GOME_TZGS.COM
addprinc root/admin@GOME_TZGS.COM

• 创建普通用户

addprinc bigdata/bigdata@GOME_TZGS.COM

• 生成密钥文件（生成到当前路径下）

xst -k bigdata.keytab -norandkey bigdata/bigdata@GOME_TZGS.COM
xst -k yarn.keytab yarn/admin@GOME_TZGS.COM
xst -k hdfs.keytab hdfs/admin@GOME_TZGS.COM

• 使用keytab 文件登录验证

# [cdh01 bigdata 15:49:08] [二 8月 10] ~
$ kinit -kt bigdata.keytab bigdata/bigdata@GOME_TZGS.COM

• 列出当前的用户（有好几个都是自动创建的）

kadmin.local:  listprincs
K/M@GOME_TZGS.COM
admin/admin@GOME_TZGS.COM
bigdata/bigdata@GOME_TZGS.COM
kadmin/admin@GOME_TZGS.COM
kadmin/cdh05@GOME_TZGS.COM
kadmin/changepw@GOME_TZGS.COM
kiprop/cdh05@GOME_TZGS.COM
krbtgt/GOME_TZGS.COM@GOME_TZGS.COM
root/admin@GOME_TZGS.COM

在kerberos任意客户端节点执行初始化及登录命令

# [cdh01 bigdata 19:41:13] [二 8月 10]
$ kinit bigdata/bigdata
Password for bigdata/bigdata@GOME_TZGS.COM:

# 手动输入创建bigdata/bigdata@GOME_TZGS.COM时候的密码
# 不报错即为验证成功

附录

Kerberos 常用命令：

klist # 查看当前生成的票据
kinit –R  # 更新ticket
kdestroy  # 销毁当前的ticket
kadmin.local -q "list_principals"   # 列出Kerberos中的所有认证用户
kadmin.local -q "addprinc user1"  # 添加认证用户，需要输入密码
kadmin.local -q "delprinc user1"  # 删除认证用户
kinit user_name/admin@EXAMPLE.COM # 初始化证书
kinit user1  # 使用该用户登录，获取身份认证，需要输入密码
kpasswd admin_user_name/admin #修改管理员用户密码