Hadoop生态圈-开启Ambari的Kerberos安全选项
作者:尹正杰
版权声明:原创作品,谢绝转载!否则将追究法律责任。
在完成IPA-Server服务的安装之后,我们已经了解了他提供的基础功能和服务,领略了其Web控制台和CLI接口的便利性,但是这写特性好像并没有提示平台的安全性啊。别着急,因为IPA-Server只是提供了诸如LDAP和Kerberos等重要的基础设施,只有将IPA于Ambari进行集成才能完全显示处它的神威。关于部署IPA-Server的部署可参考我之前的笔记:“使用FreeIPA安装Kerberos和LDAP”。
一.集成前的准备
为了让Hadoop相关的服务切换到Kerberos认证模式,需要将Ambari与FreeIPA集成。在正式集成之前需要做一些准备工作,大致思路如下:首先需要在IPA中新增一个ambari组,专门用于管理ambari的相关操作,接着需要在所有的集群服务器上安装IPA-Client程序,最后需要在Ambari-Server所在的服务安装IPA-Admin管理端工具。接下来我们开始介绍具体如何实施。
1>.新建Ambari组
首先,在Ambar-Server所在的服务器上使用Kerberos命令登录amdin账户。通过远程登录IPA-Server的方式新建一个名为“ambari-managed-principals”的组,具体操作如下所示:
[root@node101 ~]# kinit admin Password for admin@YINZHENGJIE.COM: [root@node101 ~]# [root@node101 ~]# klist Ticket cache: KEYRING:persistent:0:0 Default principal: admin@YINZHENGJIE.COM Valid starting Expires Service principal 12/13/2018 19:16:16 12/14/2018 19:16:14 krbtgt/YINZHENGJIE.COM@YINZHENGJIE.COM [root@node101 ~]# [root@node101 ~]# ipa group-add ambari-managed-principals --------------------------------------- Added group "ambari-managed-principals" --------------------------------------- Group name: ambari-managed-principals GID: 238000003 [root@node101 ~]#
创建成功后,我们可以在IPA-Server的Web UI中查看,如下图所示:
2>.安装IPA-Client
[root@node103 ~]# yum -y install ipa-client Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile * base: mirrors.huaweicloud.com * extras: mirrors.huaweicloud.com * updates: mirrors.huaweicloud.com Package ipa-client-4.6.4-10.el7.centos.x86_64 already installed and latest version Nothing to do #原因是我已经安装完毕啦! [root@node103 ~]#