@zhangyy
2021-01-07T13:11:18.000000Z
字数 1944
阅读 144
大数据运维专栏
- 一:系统环境
- 二:CDH6.3.2 集成freeipa 的Kerberos
要求大数据的所有主机注入到FreeIPA当中
cdh 最低版本为CDH6.3.2 版本
vim /etc/krb5.conf
----
#File modified by ipa-client-install
includedir /etc/krb5.conf.d/
includedir /var/lib/sss/pubconf/krb5.include.d/
[libdefaults]
default_realm = VPC.UNIONDRUG.COM
dns_lookup_realm = false
dns_lookup_kdc = false
rdns = false
dns_canonicalize_hostname = false
ticket_lifetime = 24h
forwardable = true
udp_preference_limit = 0
renew_lifetime = 7d
renewable = true
# default_ccache_name = KEYRING:persistent:%{uid}
[realms]
VPC.UNIONDRUG.COM = {
kdc = rc07bigdata.vpc.uniondrug.com:88
master_kdc = rc07bigdata.vpc.uniondrug.com:88
admin_server = rc07bigdata.vpc.uniondrug.com:749
kpasswd_server = rc07bigdata.vpc.uniondrug.com:464
default_domain = vpc.uniondrug.com
pkinit_anchors = FILE:/var/lib/ipa-client/pki/kdc-ca-bundle.pem
pkinit_pool = FILE:/var/lib/ipa-client/pki/ca-bundle.pem
}
[domain_realm]
.vpc.uniondrug.com = VPC.UNIONDRUG.COM
vpc.uniondrug.com = VPC.UNIONDRUG.COM
rc01bigdata.vpc.uniondrug.com = VPC.UNIONDRUG.COM
-----
renew_lifetime = 7d
renewable = true
# default_ccache_name = KEYRING:persistent:%{uid}
所有大数据主机节点注释掉这行
创建一个cloudera-role的角色
为cloudera-role 创建权限
在FreeIPA上创建一个cloudera-scm的用户
密码为:cloudera-scm
点击“角色” 为 cloudera-scm 添加角色
在节点上面添加测试 cloudera-scm 的Kerberos 账号
添加所有DNS 解析到 freeIPA 当中
登陆CM,进入Administration->Security,准备启动安全
在设置KDC页面中,KDC Type选择Redhat IPA,然后依次填写配置相关的KDC信息,包括类型、KDC服务器、KDC Realm、加密类型以及待创建的Service Principal(hdfs,yarn,,hbase,hive等)的更新生命期等,填写完成后点击下一步
FreeIPA 会在服务器上面 生成 kerberos 的所有的principals
这个报错的解决方法:
ipa service-allow-retrieve-keytab HTTP/master02.health.bigdata.com@REALM --users=cmadmin-21cba8ff
导出所有的常用大数据角色的prinicipals
kadmin.local
xst -kt /root/cdh.keytab -norandkey hdfs/rc01bigdata.vpc.uniondrug.com@VPC.UNIONDRUG.COM
xst -kt /root/cdh.keytab -norandkey hive/rc02bigdata.vpc.uniondrug.com@VPC.UNIONDRUG.COM
xst -kt /root/cdh.keytab -norandkey
impala/rc01bigdata.vpc.uniondrug.com@VPC.UNIONDRUG.COM