kerberos 客户端配置

文章 犀牛 ⋅ 于 2021-06-21 20:26:03 ⋅ 172 阅读

mac版

  • 检查操作系统是否安装kerberos客户端
kinit
# 如果提示找不到命令,请使用如下命令安装
brew install krb5
  • 下载并修改配置文件
# 下载kerberos服务端的krb5.conf文件到本地,复制到/etc/目录下
# 修改为如下内容
# Configuration snippets may be placed in this directory as well

# 下面这行注释掉,server端是打开状态的
# includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
 # 根据自己实际域名配置
 default_realm = HAINIU.COM
 #下面这行与server端保持一致,注释状态
# default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 HAINIU.COM = {
 # mac使用的是udp协议,但是kerberos使用的是tcp协议,所以在服务节点前面加"tcp/"
  kdc = tcp/worker-1
  admin_server = tcp/worker-1
 }

[domain_realm]
 .worker-1 = HAINIU.COM
 worker-1 = HAINIU.COM
  • 认证测试
kinit hive
klist

file

file

windows版

  • 安装Firefox浏览器

官方下载安装即可

  • 下载kerberos客户端

http://web.mit.edu/kerberos/dist/

下载kfw-4.1-amd64.msi,如下图:

file

  • 安装kerberos

file

file

file

file

file

安装完成会要求重启系统,照做。

至此,安装完成。

  • 修改配置文件

文件目录C:\ProgramData\MIT\Kerberos5\krb5.ini

在文件中添加集群上krb5.conf文件的如下部分

file

如下配置,根据自己集群情况更改为自己的。

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
 default_realm = HAINIU.COM
# default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 HAINIU.COM = {
  kdc = worker-1
  admin_server = worker-1
 }

[domain_realm]
 .worker-1 = HAINIU.COM
 worker-1 = HAINIU.COM
  • 打开Windows客户端

file

  • 使用密码认证

file

输入认证主体名与认证密码,点击ok进行认证。

file

认证完成如下

file

  • 使用keytab文件认证

在cmd命令行中输入kinit -kt <keytab文件目录> <principal主体>

file

  • firefox浏览器配置

火狐浏览器地址栏输入"about:config"

file

在搜索栏中搜索"network.negotiate-auth.trusted-uris",并点击右侧的编辑按钮,如下:

file

输入要访问节点的hostname,多个hostname使用","分割,如下:

file

搜索栏中再次搜索"network.auth.use-sspi",并修改为false。

file

  • 验证权限

认证使用hdfs进行认证,认证完成后分别访问hdfs web的browse the file system,以及solr的web页面。

cdh默认情况下是没有对yarn与hdfs的web开启安全认证的,但是solr是开启的,所以如果不做安全认证也可以访问到hdfs与yarn的页面,但是当你访问browse the file system的时候就会报权限问题,因为如果你没有做安全认证,那么默认为你操作系统用户名进行访问的

file

file

版权声明:原创作品,允许转载,转载时务必以超链接的形式表明出处和作者信息。否则将追究法律责任。来自海牛部落-犀牛,http://hainiubl.com/topics/75728
成为第一个点赞的人吧 :bowtie:
回复数量: 0
    暂无评论~~
    • 请注意单词拼写,以及中英文排版,参考此页
    • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`, 更多语法请见这里 Markdown 语法
    • 支持表情,可用Emoji的自动补全, 在输入的时候只需要 ":" 就可以自动提示了 :metal: :point_right: 表情列表 :star: :sparkles:
    • 上传图片, 支持拖拽和剪切板黏贴上传, 格式限制 - jpg, png, gif,教程
    • 发布框支持本地存储功能,会在内容变更时保存,「提交」按钮点击时清空
    Ctrl+Enter