Hadoop2.x安全:Window下Kerberos客戶端安裝及瀏覽器配置

微信公眾號:大數(shù)據(jù)開發(fā)運維架構(gòu)

關(guān)注可了解更多大數(shù)據(jù)相關(guān)的資訊。問題或建議,請公眾號留言;

如果您覺得“大數(shù)據(jù)開發(fā)運維架構(gòu)”對你有幫助,歡迎轉(zhuǎn)發(fā)朋友圈

從微信公眾號拷貝過來,格式有些錯亂,建議直接去公眾號閱讀

Hadoop集群啟用Kerberos認證后,我們平時需要在Window通過界面查看集群的一些webUI,通常需要安裝一個Window的Kerberos客戶端。

1.Kerberos官網(wǎng)下載地址:

? ? http://web.mit.edu/kerberos/dist/

如果下載不下來keyon過我的網(wǎng)盤下載:

? ? 鏈接: https://pan.baidu.com/s/1uaS-_azgVP5OzYUKVHBiYw

? ? 提取碼: esjr

2.我這里安裝包kfw-4.1-amd64.msi,直接雙擊下一步,安裝即可,安裝目錄可自己配置,這里最好按照默認目錄配置,默認會安裝在:

? ? C:\Program Files\MIT\Kerberos

3.修改kerberos的keb5.ini文件,一般都在C:\ProgramData\MIT\Kerberos5目錄下,新建krb5.ini文件,內(nèi)容直接從krb5.conf拷貝即可,但是這里要注意,不要直接把krb5.conf重命名為krb5.ini,可能編碼不一致容易報錯;

? ? 另外一個坑就是配置default_ccache_name ,目錄是票據(jù)的緩存目錄,這里我配置到C盤一直報錯,所以我這里改成了D盤,報錯信息:

Credentials cache file permissions incorrect

原因:您對憑證高速緩存沒有相應(yīng)的讀寫權(quán)限。

default_ccache_name = D:\kafkaSSL\Kerberos\krb5cc_%{uid}

[libdefaults]

? udp_preference_limit = 1

? renew_lifetime = 3650d

? forwardable = true

? default_realm = CHINAUNICOM

? ticket_lifetime = 3650d

? dns_lookup_realm = false

? dns_lookup_kdc = false

? #注意這里一般不要配置到C盤,可能會報錯沒有權(quán)限

? default_ccache_name = D:\kafkaSSL\Kerberos\krb5cc_%{uid}

? #default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5

? #default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5

[domain_realm]

? .CHINAUNICOM = CHINAUNICOM

[realms]

? CHINAUNICOM = {

? ? admin_server = master98.hadoop.unicom

? ? kdc = master98.hadoop.unicom

? }

4.配置環(huán)境變量,將bin目錄加到path,如果kerberos的環(huán)境變量在后面的話,其他的軟件的指令里面也帶了一些?kinit, ktab, klist?等軟件,所以輸入?kinit?、klist?的時候執(zhí)行的是其他軟件的指令。所以最好把kerberos放最前面!

5.另外有些同行建議配置環(huán)境變量KRB5_CONFIG,我這里不配置也可以,如果你報錯找不到realms那就配置上:

????KRB5_CONFIG=D:\kafkaSSL\Kerberos\krb5.ini

6.前面配置完成后一定要重啟電腦,重啟,重啟,重要的事情說三遍!!!

7.票據(jù)緩存??赏ㄟ^兩種方式進行票據(jù)的緩存:

1).打開window的kerberos客戶端界面,可緩存有密碼的票據(jù):

2).如果你的票據(jù)密碼是報錯在keytab文件中的,可通過cmd命令行緩存票據(jù)(這是window的kerbeos客戶端也應(yīng)處在開啟狀態(tài)),通過kinit?命令緩存,如圖:

以上任一緩存方式緩存票據(jù)后,客戶端界面都有已緩存的票據(jù)

8.配置瀏覽器訪問。由于現(xiàn)在不支持其他瀏覽器,我們只能通過火狐瀏覽器進行配置,打開火狐瀏覽器,在地址欄輸入:about:config

1).修改變量network.negotiate-auth.trusted-uris(允許使用gssapi鏈接驗證的地址)為集群所有主機列表,我這里一共4個節(jié)點:

2)修改變量network.auth.use-sspi為false,關(guān)閉sspi驗證協(xié)議

配置完成后可使用火狐瀏覽器hadoop相關(guān)的瀏覽器界面。

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容