Kerberos知识点总结
Kerberos简介
Kerberos是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。
Kerberos认证原理
1)KDC(Key Distribute Center):密钥分发中心,负责存储用户信息,管理发放票据。
2)Realm:Kerberos所管理的一个领域或范围(一系列服务或用户),称之为一个Realm。
3)Rrincipal:Kerberos所管理的一个用户或者一个服务,可以理解为Kerberos中保存的一个账号,其格式通常如下:primary/instance@realm (用户名或服务名/主机名@域名)
4)keytab:Kerberos中的用户认证,可通过密码或者密钥文件证明身份,keytab指密钥文件。
Kerberos部署
安装Kerberos相关服务
选择集群中的一台主机作为Kerberos服务端,安装KDC
所有主机都需要部署Kerberos客户端
修改配置文件
服务端配置文件:realms
客户端配置文件:kdc、admin_server
初始化KDC数据库
启动Kerberos相关服务
启动KDC、启动Kadmin(KDC数据库访问入口)
创建Kerberos管理员用户
Kerberos使用
Kerberos数据库操作
1)登录数据库
本地登录(无需认证):kadmin.local
远程登录:kadmin
2)创建Kerberos主体:addprinc test
3)删除Kerberos主体:delprinc test
4)查看所有主体:list_principals
Kerberos认证操作
1)密码认证:kinit
2)生成密钥文件:xst -norandkey -k /root/test.keytab test@EXAMPLE.COM
-norandkey的作用是声明不随机生成密码,若不加该参数,会导致之前的密码失效
3)密钥文件认证:kinit -kt /root/test.keytab test
4)查看凭证:klist
5)销毁凭证:kdestroy
Hadoop开启Kerberos
创建Hadoop系统用户
为Hadoop开启Kerberos,需为不同服务准备不同的用户,启动服务时需要使用相应的用户。
hdfs:hadoop、yarn:hadoop、mapred:hadoop
为Hadoop各服务创建Kerberos主体
1)路径准备:存储密钥文件
2)管理员主体认证
3)登录数据库客户端
4)创建主体
addprinc -randkey test/test
xst -k /etc/security/keytab/test.keytab test/test
主体:nn/hadoop102、dn/hadoop103......jhs/hadoop102、HTTP/hadoop102......
修改Hadoop配置文件
1)core-site.xml
启用Kerberos、启用仅认证、主体到系统用户的映射
2)hdfs-site.xml
启用仅认证、指定各服务的Kerberos主体和密钥文件路径
3)yarn-site.xml
指定各服务的Kerberos主体和密钥文件路径
4)mapred-site.xml
指定各服务的Kerberos主体和密钥文件路径
配置HDFS使用HTTPS安全传输协议
1)生成 keystore的密码及相应信息的密钥库
2)修改keystore文件的所有者和访问权限
3)将该证书分发到集群中的每台节点的相同路径
4)修改hadoop配置文件ssl-server.xml.example
5)分发ssl-server.xml文件
配置Yarn使用LinuxContainerExecutor
默认为DefaultContainerExecutor,区别在于DefaultContainerExecuto 启动Container的用户为NodeManager的启动用户
而LinuxContainerExecutor 启动Container的用户为提交job的用户
修改特定本地路径权限
启动HDFS
需要注意的是,启动不同服务时需要使用对应的用户
修改HDFS特定路径访问权限
启动Yarn、HistoryServer
Hadoop安全集群使用说明
用户要求
1)集群中的每个节点都需要创建该用户
2)该用户需要属于hadoop用户组
3)需要创建该用户对应的Kerberos主体
访问HDFS集群文件
1)认证
2)执行命令
3)注销认证
Hive开启Kerberos
前置要求
1)Hadoop集群启动Kerberos认证
2)创建Hive系统用户和Kerberos主体
创建系统用户、创建Kerberos主体并生成keytab文件、修改keytab文件所有者和访问权限
配置认证
1)修改hive-site.xm:
HiveServer2和Metastore启用认证并指定Kerberos主体和密钥文件路径
2)修改/hadoop/core-site.xml:使用hive代理用户
启动hiveserver2
使用hive用户启动
Hive Kerberos认证使用说明
认证
使用beeline客户端连接hiveserver
!connect jdbc:hive2://hadoop102:10000/;principal=hive/hadoop102@EXAMPLE.COM
数仓全流程
用户准备
1)在各节点创建hive用户
2)为hive用户创建Keberos主体
创建主体、生成keytab文件、修改keytab文件所有者和访问权限、分发keytab文件
注意:此处用户供脚本使用,所以使用密钥文件认证
数据采集通道脚本修改
用户行为日志
a1.sinks.k1.hdfs.kerberosPrincipal=hive@EXAMPLE.COM
a1.sinks.k1.hdfs.kerberosKeytab=/etc/security/keytab/hive.keytab
业务数据
kinit -kt /etc/security/keytab/hive.keytab hive
数仓各层脚本修改
kinit -kt /etc/security/keytab/hive.keytab hive
修改HDFS特定路径所有者
认证为hdfs用户,执行以下命令并按提示输入密码
修改数据采集目标路径
修改数仓表所在路径
修改hive家目录/user/hive
修改spark.eventLog.dir路径
启动Azkaban
在各节点创建azkaban用户
将各节点Azkaban安装路径所有者改为azkaban用户
使用azkaban用户启动Azkaban
注意:azkaban不需要直接和Hadoop交互,不需要kerberos主体
