CDH6.3.2 集成 Freeipa 的kerberos
标签(空格分隔): 大数据运维专栏
- 一:系统环境
- 二:CDH6.3.2 集成freeipa 的Kerberos
1.2 系统配置
要求大数据的所有主机注入到FreeIPA当中
cdh 最低版本为CDH6.3.2 版本
2.1 修改Kerberos 的 krb5.conf 文件
vim /etc/krb5.conf
----
#File modified by ipa-client-install
includedir /etc/krb5.conf.d/
includedir /var/lib/sss/pubconf/krb5.include.d/
[libdefaults]
default_realm = VPC.UNIONDRUG.COM
dns_lookup_realm = false
dns_lookup_kdc = false
rdns = false
dns_canonicalize_hostname = false
ticket_lifetime = 24h
forwardable = true
udp_preference_limit = 0
renew_lifetime = 7d
renewable = true
# default_ccache_name = KEYRING:persistent:%{uid}
[realms]
VPC.UNIONDRUG.COM = {
kdc = rc07bigdata.vpc.uniondrug.com:88
master_kdc = rc07bigdata.vpc.uniondrug.com:88
admin_server = rc07bigdata.vpc.uniondrug.com:749
kpasswd_server = rc07bigdata.vpc.uniondrug.com:464
default_domain = vpc.uniondrug.com
pkinit_anchors = FILE:/var/lib/ipa-client/pki/kdc-ca-bundle.pem
pkinit_pool = FILE:/var/lib/ipa-client/pki/ca-bundle.pem
}
[domain_realm]
.vpc.uniondrug.com = VPC.UNIONDRUG.COM
vpc.uniondrug.com = VPC.UNIONDRUG.COM
rc01bigdata.vpc.uniondrug.com = VPC.UNIONDRUG.COM
-----
renew_lifetime = 7d
renewable = true
# default_ccache_name = KEYRING:persistent:%{uid}
所有大数据主机节点注释掉这行
2.2 在FreeIPA 当中创建cdh的管理角色
创建一个cloudera-role的角色 为cloudera-role 创建权限 在FreeIPA上创建一个cloudera-scm的用户
密码为:cloudera-scm 点击“角色” 为 cloudera-scm 添加角色
在节点上面添加测试 cloudera-scm 的Kerberos 账号 添加所有DNS 解析到 freeIPA 当中
2.3 在cdh6.3.2 启用 FreeIPA 角色
登陆CM,进入Administration->Security,准备启动安全 在设置KDC页面中,KDC Type选择Redhat IPA,然后依次填写配置相关的KDC信息,包括类型、KDC服务器、KDC Realm、加密类型以及待创建的Service Principal(hdfs,yarn,,hbase,hive等)的更新生命期等,填写完成后点击下一步 FreeIPA 会在服务器上面 生成 kerberos 的所有的principals
导出所有的常用大数据角色的prinicipals
kadmin.local
xst -kt /root/cdh.keytab -norandkey hdfs/[email protected]
xst -kt /root/cdh.keytab -norandkey hive/[email protected]
xst -kt /root/cdh.keytab -norandkey
impala/[email protected]