Hadoop需要Kerberos来进行认证,以启动服务来说,在后面配置 hadoop 的时候我们会给 对应服务指定一个Kerberos的账户,比如 namenode 运行在cdh0机器上,我们可能将 namenode 指定给了 nn/cdh0.itcast.cn@ITCAST.CN 这个账户, 那么 想要启动 namenode 就必须认证 这个账户才可以。
1. 在每个节点执行 mkdir /etc/security/keytabs。
2. 配置cdh0上面运行的服务对应的Kerberos账户。
执行 kadmin输入密码, 进入Kerberos的admin后台创建namenode的账户addprinc -randkey nn/cdh0.itcast.cn@ITCAST.CN创建secondarynamenode的账户addprinc -randkey sn/cdh0.itcast.cn@ITCAST.CN创建用于https服务的相关账户addprinc -randkey HTTP/cdh0.itcast.cn@ITCAST.CN# 防止启动或者操作的过程中需要输入密码,创建免密登录的keytab文件# 创建nn账户的keytabktadd -k /etc/security/keytabs/nn.service.keytab nn/cdh0.itcast.cn@ITCAST.C# 创建sn账户的keytabktadd -k /etc/security/keytabs/sn.service.keytab sn/cdh0.itcast.cn@ITCAST.CN# 创建HTTP账户的keytabktadd -k /etc/security/keytabs/spnego.service.keytabHTTP/cdh0.itcast.cn@ITCAST.CN最终得到:-r-------- 1 hdfs hadoop 406 Sep 26 11:11 nn.service.keytab-r-------- 1 hdfs hadoop 406 Sep 26 11:13 sn.service.keytab-r-------- 1 hdfs hadoop 418 Sep 26 12:20 spnego.service.keytab3. 配置cdh1 和 cdh2 上面运行的服务对应的Kerberos账户,分别在cdh1 和 cdh2上执行以下操作:
kadmin 进入admin后台# 创建datanode的账户addprinc -randkey dn/cdh1.itcast.cn@ITCAST.CN # 如果是cdh2机器 使用cdh2.itcast.cn# 创建datanode需要使用的https相关服务账户addprinc -randkey HTTP/cdh1.itcast.cn@ITCAST.CN # 如果是cdh2机器 使用cdh2.itcast.cn# 添加keytabktadd -k /etc/security/keytabs/dn.service.keytab dn/cdh1(或者2).itcast.cn@ITCAST.CNktadd -k /etc/security/keytabs/spnego.service.keytab HTTP/cdh1(或者2).itcast.cn@ITCAST.CN最终得到:-r-------- 1 hdfs hadoop 406 Sep 26 11:18 dn.service.keytab-r-------- 1 hdfs hadoop 418 Sep 26 12:22 spnego.service.keytab4. 在cdh0 cdh1 cdh2 上将刚刚得到的 keytab文件全部设置: chown hdfs:hadoop 以及 chmod 400。
文章来源于:王晴儿网页设计博客 欢迎分享交流,转载请注明出处
本文来自投稿,不代表重蔚自留地立场,如若转载,请注明出处https://www.cwhello.com/262330.html
如有侵犯您的合法权益请发邮件951076433@qq.com联系删除
