-配置文件 krb5.conf
-kdc.conf
-kadm5.acl
匹配这个规则的账户有所有权限 ,下文为账户格式解释:
instance 一般是主机名hostname ,admin/admin@ITCAST.CN 是特殊的管理员 所以是admin不是hostname
-创建针对relam的database
创建db后得到这4个文件
-登入后台 ,在admin_server上 可以直接命令登入后台创建用户
创建 admin账户
客户端-登入一个账户
PS ,kinit是输入pwd登入 ;kinit -kt是有一种用keytab登入的 无需密码
-在客户端登入 admin后台
为hadoop 规划 principalprincipal就是上文的账户 , /
FYI: 如下 root用户 通过kinit获得了test 账户的ticket
important
所以要操作 namenode你要先获得 nn/cdh0.itcast.cn@ITCAST.CN 的ticket , nn/cdh0.itcast.cn@ITCAST.CN 与 namenode 的关系 在hadoop配置文件中 binding了
(所以 namenode的角色 与nn/cdh0.itcast.cn@ITCAST.CN 账户 做了绑定? 要授权获取ticket才能驾驭namenode 行动 ,think namenode as a car that only privileged account can drive!
那么 linux 账户其实整套体系无关?linux 账户eg: "hdfs" just in order to creating permission for. access of nn/cdh0.itcast.cn@ITCAST.CN 's keytab or relevant dir that preventing others )
来自youtube截图
important
上文 客户端 hadoop fs -ls 命令后,先像AS ,TGS 获取了(nn) service ticket, 然后和 HDFS NN交互时, client通过hadoop rpc 和NN 交换了 彼此的 ticket ,然后又用各自从KDC拿的解密信息认证了 彼此为 正确的身份
配置hdfsPS:randkey 随机密码
登入admin 创建三个用户 并且生成对应keytab到本地
设置对应linux用户有对应的keytab权限:
PS; cdh0 cdh1 cdh2 cdh3 是hostname中配置的域名简写
因为cdh1 cdh2 作为hadoop node节点需要运行datanode nodemanager http(spnego) 所以这两台机器也要创建对应的 principal 和本地keytab ,操作同上 cdh0 换成 cdh1 cdh2
创建数据目录,对应目录都可以修改 下面是在根目录下 建的 /data/
-安装protobuf
5.设置hadoop各路径的权限 ,P8后部视频 【大数据基础】快速掌握Hadoop集成Kerberos安全技术_哔哩哔哩_bilibili
FYI container-executor.cfg 自己和它的上层都要求是 root的
hadoop的匹配规则 HDFScore-site.xml
hdfs-site.xml
HOST这里在不同机器上 会自动解析
