前言:
- 为什么需要Kerberos
- Hadoop集群默认采用基于操作系统账号的Simple认证,基本没有安全性保证,用户只需在客户端的操作系统上建立一个同名账号,即可伪装成任何用户访问集群。
- 什么是Kerberos
- Kerberos是一个网络认证的框架协议,它的命名灵感来自于希腊神话中一只三头犬守护兽,寓意其拥有强大的保护能力。
- Kerberos协议通过强大密钥系统为Server(服务端)和Client(客户端)应用程序之间提供强大的通信加密和认证服务。
- 在使用Kerberos协议认证的集群中,Client不会直接和他的Server服务进行通信认证,而是通过KDC(key Distribution Center)这样一个独立的服务来完成互相之间的认证。同时Kerberos 还能将服务之间的全部通信进行加密以保证其隐私于完整性。
- Kerberos由麻省理工学院创建,作为解决这些网络安全问题的解决方案。Kerberos协议使用强加密技术,以便客户端可以通过不安全的网络连接向服务器(反之亦然)证明其身份。在客户端和服务器使用Kerberos证明其身份后,他们还可以加密所有通信,以确保在业务开展时的隐私和数据完整性。
详情请参考:https://web.mit.edu/kerberos/。
- 本次kerberos部署文档基于uat环境进行,集群情况如下
192.168.0.201 uat-cm
192.168.3.21 uat-master-1
192.168.3.22 uat-master-2
192.168.0.198 uat-slave-1
192.168.0.200 uat-slave-2
192.168.0.199 uat-slave-3一、kerberos服务部署
1.1、角色划分及服务安装:
- kdc:uat-cm节点(单独一台机器只装kdc服务最安全)
- yum install -y krb5-server
yum install -y krb5-libs
yum install -y krb5-workstation
- kerberos client:cdh全部节点
- yum install -y krb5-workstation
1.2、配置文件:
- /etc/krb5.conf(全部节点保持一致)
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = TEST.COM
dns_lookup_kdc = false
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
renewable = true
forwardable = true
rdns = false
[realms]
TEST.COM = {
kdc = uat-cm
admin_server = uat-cm
default_domain = TEST.com
}
[domain_realm]
.TEST.com = TEST.COM
TEST.com = TEST.COM- /var/kerberos/krb5kdc/kadm5.acl(kdc节点)
*/admin@TEST.COM *- /var/kerberos/krb5kdc/kdc.conf(kdc节点)
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
[realms]
TEST.COM = {
#master_key_type = aes256-cts
max_renewable_life=7d 0h 0m 0s
acl_file = /var/kerberos/krb5kdc/kadm5.acl
dict_file = /usr/share/dict/words
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
}1.3、⚠️其他系统配置
- jce更新
- 因为系统采用的是Centos7.6,对于使用Centos5.6及以上系统,默认采用 AES-256 来加密;这就需要CDH集群所有的节点都安装 Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy File
- 将解压后的 UnlimitedJCEPolicyJDK8 文件下的两个jar包 复制到 $JAVA_HOME/jre/lib/security/
- 集群中$JAVA_HOME/jre/lib/security/目录下可能存在着两个jar包,用下面地址的jar包覆盖
- ntp时间同步
- 所有节点做时间同步,保持时区一直,由于使用阿里云ecs,这部分配置已做好
1.4、启动命令
- 创建kerberos database
# uat-cm节点,执行以下交互命令,配置密码
kdb5_util create -s -r TEST.COM- 添加database admin
# uat-cm节点 执行以下交互命令,配置密码
kadmin.local -q "addprinc admin/admin"- 启动kdc server
# uat-cm节点
service krb5kdc start
service kadmin start- 查看状态
# uat-cm节点
systemctl status krb5kdc.services
systemctl status kadmin.services- 设置开机自启动
# uat-cm节点
chkconfig krb5kdc on
chkconfig kadmin on二、cdh配置kerberos认证
2.1、创建cdh admin用户
# uat-cm节点,后面cdh启用kerberos时,需要一个admin权限的账户
kadmin.local -q "addprinc cloudera-scm/admin"2.2、cdh web界面启动kerberos
- web界面启动kerberos相对简单,暂时没截图,后面补充
- 中间有一步配置supported_enctypes,保持和/var/kerberos/krb5kdc/kdc.conf内容一致
- kerberos配置后,会重启整个cdh里的组件,重启成功后,访问服务就需要kerberos认证
2.3、⚠️cdh组件配置
- yarn组件: min.user.id 默认值为1000,设置为0,否则提交任务会报错id<1000
三、运行cdh组件
3.1、运行presto
- /opt/servers/presto-server-0.184/etc/catalog/hive.properties 添加如下配置
#配置Presto访问HiveMetastore服务的Kerberos信息,该段配置可以只存在Presto的Coordinator节点
hive.metastore.authentication.type=KERBEROS
hive.metastore.service.principal=hive/_HOST@TEST.COM
hive.metastore.client.principal=hive@TEST.COM
hive.metastore.client.keytab=/etc/hadoop/conf/hive.keytab
#配置Presto访问HDFS的Kerberos信息,改段配置可以只存在Presto的Worker节点
hive.hdfs.authentication.type=KERBEROS
hive.hdfs.impersonation.enabled=true
hive.hdfs.presto.principal=hive@TEST.COM
hive.hdfs.presto.keytab=/etc/hadoop/conf/hive.keytab- 将上面配置文件下发到coordinator和worker节点
- 重启coordinator和worker服务 /opt/servers/presto-server-0.184/bin/launcher restart
3.2 运行spark、hive程序 - uat-cm节点配置keytab
cd /var/kerberos/krb5kdc/
kadmin.local -q "addprinc -randkey hive"
kadmin.local -q "ktadd -k hive.keytab -norandkey hive"- 下发keytab到全部节点
scp /var/kerberos/krb5kdc/hive.keytab root@uat-cm:/etc/hadoop/conf/
scp /var/kerberos/krb5kdc/hive.keytab root@uat-master-1:/etc/hadoop/conf/
scp /var/kerberos/krb5kdc/hive.keytab root@uat-master-2:/etc/hadoop/conf/
scp /var/kerberos/krb5kdc/hive.keytab root@uat-slave-1:/etc/hadoop/conf/
scp /var/kerberos/krb5kdc/hive.keytab root@uat-slave-2:/etc/hadoop/conf/
scp /var/kerberos/krb5kdc/hive.keytab root@uat-slave-3:/etc/hadoop/conf/- 设置文件权限(有keytab就可以认证kerberos,保证特定用户才有读权限)
ssh root@uat-cm "chown hdfs:hadoop /etc/hadoop/conf/hive.keytab ; chmod 400 /etc/hadoop/conf/hive.keyta"
ssh root@uat-master-1 "chown hdfs:hadoop /etc/hadoop/conf/hive.keytab ; chmod 400 /etc/hadoop/conf/hive.keytab"
ssh root@uat-master-2 "chown hdfs:hadoop /etc/hadoop/conf/hive.keytab ; chmod 400 /etc/hadoop/conf/hive.keytab"
ssh root@uat-slave-1 "chown hdfs:hadoop /etc/hadoop/conf/hive.keytab ; chmod 400 /etc/hadoop/conf/hive.keyta"
ssh root@uat-slave-2 "chown hdfs:hadoop /etc/hadoop/conf/hive.keytab ; chmod 400 /etc/hadoop/conf/hive.keyta"
ssh root@uat-slave-3 "chown hdfs:hadoop /etc/hadoop/conf/hive.keytab ; chmod 400 /etc/hadoop/conf/hive.keyta"- 运行hive
# kerberos 认证
kinit -k -t /etc/hadoop/conf/hive.keytab hive@TEST.COM
#执行hive sql
hive -e "selct ...."- 运行spark
- 方式1:
spark2-submit \
--keytab /etc/hadoop/conf/hive.keytab \
--principal hive@TEST.COM \
--master yarn\
--deploy-mode cluster \
--jars hdfs://nameservice1:8020/spark_libs/* \
......- 方式2:
# kerberos 认证
kinit -k -t /etc/hadoop/conf/hive.keytab hive@TEST.COM
#提交spark程序
spark2-submit \
--master yarn\
--deploy-mode cluster \
--jars hdfs://nameservice1:8020/spark_libs/* \
.....- 其他组件认证大同小异,先认证或者通过指定keytab文件和principal
3.3、hdfs,yarn web认证
- 本地机器安装krb5客户端程序(mac、windows)
- 同步/etc/krb5/conf和hive.keytab文件到本地
- 本地kinit 通过keytab文件认证,认证成功后,可以打开对应web页面
3.4、azkaban kerberos认证
- shell命令添加kerberos认证
- azkaban调度任务统一添加测试中
3.5、zeppelin
- uat zeppelin 0.8 版本不支持kerberos认证(0.9支持),已使用自带user认证
- notebook和conf目录由hdfs改为本地,不然web界面503,报错:org.apache.hadoop.security.AccessControlException: SIMPLE authentication is not enabled. Available:[TOKEN, KERBEROS]
- 登陆用户zeppelin,root提交spark on yarn报错user not found,改为admin账户可运行
3.5、flume
TODO
四、kerberos命令
- kinit
- kdestroy
- kadmin.local和kadmin
- 待完善
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
