Hadoop需要Kerberos来进行认证,以启动服务来说,在后面配置 hadoop 的时候我们会给 对应服务指定一个Kerberos的账户,比如 namenode 运行在cdh0机器上,我们可能将 namenode 指定给了 nn/cdh0.itcast.cn@ITCAST.CN 这个账户, 那么 想要启动 namenode 就必须认证 这个账户才可以。
1. 在每个节点执行 mkdir /etc/security/keytabs。
2. 配置cdh0上面运行的服务对应的Kerberos账户。
执行 kadmin 输入密码, 进入Kerberos的admin后台 创建namenode的账户 addprinc -randkey nn/cdh0.itcast.cn@ITCAST.CN 创建secondarynamenode的账户 addprinc -randkey sn/cdh0.itcast.cn@ITCAST.CN 创建用于https服务的相关账户 addprinc -randkey HTTP/cdh0.itcast.cn@ITCAST.CN # 防止启动或者操作的过程中需要输入密码,创建免密登录的keytab文件 # 创建nn账户的keytab ktadd -k /etc/security/keytabs/nn.service.keytab nn/cdh0.itcast.cn@ITCAST.C # 创建sn账户的keytab ktadd -k /etc/security/keytabs/sn.service.keytab sn/cdh0.itcast.cn@ITCAST.CN # 创建HTTP账户的keytab ktadd -k /etc/security/keytabs/spnego.service.keytab HTTP/cdh0.itcast.cn@ITCAST.CN 最终得到: -r——– 1 hdfs hadoop 406 Sep 26 11:11 nn.service.keytab -r——– 1 hdfs hadoop 406 Sep 26 11:13 sn.service.keytab -r——– 1 hdfs hadoop 418 Sep 26 12:20 spnego.service.keytab3. 配置cdh1 和 cdh2 上面运行的服务对应的Kerberos账户,分别在cdh1 和 cdh2上执行以下操作:
kadmin 进入admin后台 # 创建datanode的账户 addprinc -randkey dn/cdh1.itcast.cn@ITCAST.CN # 如果是cdh2机器 使用 cdh2.itcast.cn # 创建datanode需要使用的https相关服务账户 addprinc -randkey HTTP/cdh1.itcast.cn@ITCAST.CN # 如果是cdh2机器 使用 cdh2.itcast.cn # 添加keytab ktadd -k /etc/security/keytabs/dn.service.keytab dn/cdh1(或者 2).itcast.cn@ITCAST.CN ktadd -k /etc/security/keytabs/spnego.service.keytab HTTP/cdh1(或者 2).itcast.cn@ITCAST.CN 最终得到: -r——– 1 hdfs hadoop 406 Sep 26 11:18 dn.service.keytab -r——– 1 hdfs hadoop 418 Sep 26 12:22 spnego.service.keytab4. 在cdh0 cdh1 cdh2 上将刚刚得到的 keytab文件全部设置: chown hdfs:hadoop 以及 chmod 400。
免责声明:文章内容来自互联网,本站仅作为分享,不对其真实性负责,如有侵权等情况,请与本站联系删除。
转载请注明出处:大数据基础:如何配置HDFS相关的Kerberos账户? https://www.dachanpin.com/a/cyfx/10951.html
