概述:
上篇文章:Hadoop2.x安全:hadoop集群之kerberos认证(原理+安装配置),介绍了Kerberos的认证原理和Kerbero服务端的安装配置,我们公司生产环境是通过Ambari界面管理的HDP集群,这里我就通过Ambari来介绍下如何对Hadoop集群开启Kerberos认证。
软件版本:
1).开源Ambari2.6.0
2).开源HDP2.6.3
这里我们用的开源的Ambari2.6.0版本,对应的HDP版本是2.6.3,Ambari是一个集群安装、配置、组件监控一体化的工具,使用简单、功能比较强大便于集群的管理而且是开源的,很多公司都在用,它提供了二次开发的接口可以对组件进行升级和改造,我们这里是进行了个别组件的升级和界面的国产化,后面如果有时间我会写一篇关于如何通过rpm包的方式升级ambari的组件。
不过也有公司用了CDH集群,通过cloudrea manager进行安装管理,由于我不太熟悉,这里不再进行介绍。
进入ambari界面,点击最上方顶级菜单“管理”-“安全认证”,如图所示:
点击“启用kerberos”:
根据Kerberos向导提示,选择我们已安装的MIT KDC,并根据提示,安装以下三个项目,我上篇文章中已经全部讲过了,自己去看就行:
配置Kerberos界面,我们之前安装的realms名为:CHINAUNICOM,你根据自己的名字和KDC的主机信息进行填写:
1).三个信息一个是KDC主机 2).第二个是realms域名 注意Domain第一个有个点
3).下面是管理员票据和管理员票据密码,安装的时候指定的。
其他的配置都可以默认的,点击下一步:
安装并测试客户端,可根据图中提示查看日志,这里正常,直接点击下一步:
“配置标识”和“确认配置”界面基本不用修改,直接下一步即可,以后的几个界面基本不需要操作,确认信息无误后,直接下一步:
如果这里启动服务报错,没关系点击右上角的“关闭”按钮,回到ambari的界面去单个启动服务即可。
这里有个建议ambari界面启动各个组件的时候启动顺序一般是:zookeeper->ranger->hdfs ->其他组件无顺序。
