Redhat7中CDH集群外如何配置Kerberos环境SUSE12的Gateway节点

在CDH（Cloudera Distribution Including Apache Hadoop）集群中，Kerberos是一种常用的安全认证机制。通常情况下，Kerberos的配置是在集群内部完成的，但在某些场景下，我们可能需要在集群外部配置Kerberos环境，特别是在使用不同操作系统的Gateway节点时。本文将详细介绍如何在Redhat7中CDH集群外配置Kerberos环境，并在SUSE12的Gateway节点上进行相关配置。

1. 环境准备

在开始配置之前，确保以下环境已经准备就绪：

• Redhat7服务器：作为CDH集群的主节点，已经配置好Kerberos服务。
• SUSE12服务器：作为Gateway节点，需要连接到CDH集群并启用Kerberos认证。
• Kerberos KDC：已经在Redhat7服务器上配置并运行。
• CDH集群：已经启用Kerberos认证，并且所有服务都已经配置好Kerberos主体和keytab文件。

2. 在Redhat7上配置Kerberos KDC

首先，确保Kerberos KDC已经在Redhat7服务器上配置并运行。以下是基本的配置步骤：

2.1 安装Kerberos相关软件包

sudo yum install krb5-server krb5-libs krb5-workstation

2.2 配置Kerberos KDC

编辑/etc/krb5.conf文件，配置Kerberos的领域和KDC信息：

[libdefaults]
    default_realm = EXAMPLE.COM
    dns_lookup_kdc = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true

[realms]
    EXAMPLE.COM = {
        kdc = kdc.example.com
        admin_server = kdc.example.com
    }

[domain_realm]
    .example.com = EXAMPLE.COM
    example.com = EXAMPLE.COM

2.3 创建Kerberos数据库

初始化Kerberos数据库：

sudo kdb5_util create -s

2.4 启动Kerberos服务

启动Kerberos KDC和Kadmin服务：

sudo systemctl start krb5kdc
sudo systemctl start kadmin
sudo systemctl enable krb5kdc
sudo systemctl enable kadmin

2.5 创建Kerberos主体

为CDH集群中的每个服务创建Kerberos主体，并生成keytab文件。例如，为HDFS服务创建主体：

sudo kadmin.local -q "addprinc -randkey hdfs/hostname@EXAMPLE.COM"
sudo kadmin.local -q "ktadd -k /etc/security/keytabs/hdfs.keytab hdfs/hostname@EXAMPLE.COM"

3. 在SUSE12 Gateway节点上配置Kerberos

接下来，在SUSE12的Gateway节点上配置Kerberos客户端，以便能够与CDH集群进行安全通信。

3.1 安装Kerberos客户端

在SUSE12上安装Kerberos客户端软件包：

sudo zypper install krb5-client

3.2 配置Kerberos客户端

编辑/etc/krb5.conf文件，配置Kerberos客户端以连接到Redhat7上的KDC：

[libdefaults]
    default_realm = EXAMPLE.COM
    dns_lookup_kdc = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true

[realms]
    EXAMPLE.COM = {
        kdc = kdc.example.com
        admin_server = kdc.example.com
    }

[domain_realm]
    .example.com = EXAMPLE.COM
    example.com = EXAMPLE.COM

3.3 获取Kerberos票据

使用kinit命令获取Kerberos票据。确保你已经有一个有效的Kerberos主体和密码：

kinit hdfs/hostname@EXAMPLE.COM

3.4 验证Kerberos配置

使用klist命令验证是否成功获取了Kerberos票据：

klist

如果成功，你应该看到类似以下的输出：

Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: hdfs/hostname@EXAMPLE.COM

Valid starting       Expires              Service principal
10/01/2023 10:00:00  10/02/2023 10:00:00  krbtgt/EXAMPLE.COM@EXAMPLE.COM

4. 配置CDH集群的Gateway节点

在SUSE12的Gateway节点上，确保CDH客户端配置正确，并且能够使用Kerberos认证连接到CDH集群。

4.1 配置Hadoop客户端

编辑/etc/hadoop/conf/core-site.xml文件，确保以下配置项正确：

<property>
    <name>hadoop.security.authentication</name>
    <value>kerberos</value>
</property>
<property>
    <name>hadoop.security.authorization</name>
    <value>true</value>
</property>

4.2 配置HDFS客户端

编辑/etc/hadoop/conf/hdfs-site.xml文件，确保以下配置项正确：

<property>
    <name>dfs.namenode.kerberos.principal</name>
    <value>hdfs/hostname@EXAMPLE.COM</value>
</property>
<property>
    <name>dfs.namenode.keytab.file</name>
    <value>/etc/security/keytabs/hdfs.keytab</value>
</property>

4.3 测试连接

使用hdfs dfs命令测试是否能够成功连接到CDH集群：

hdfs dfs -ls /

如果配置正确，你应该能够看到HDFS根目录下的文件列表。

5. 总结

通过以上步骤，我们成功在Redhat7中CDH集群外配置了Kerberos环境，并在SUSE12的Gateway节点上进行了相关配置。这样，Gateway节点就能够安全地连接到CDH集群，并使用Kerberos进行身份验证。这种跨操作系统的Kerberos配置在实际生产环境中非常常见，特别是在异构系统中。希望本文能够帮助你顺利完成相关配置。