Kerberos主从配置.docx

Kerberos主从配置文档1. Kerberos主从同步机制Master10Slave11Krb5kdcKadminkpropd在Master上通过以下命令同步数据:kdb5_util dump /var/kerberos/krb5kdc/slave_dbkprop -f /var/kerberos/krb5kdc/slave_db 2. 搭建 Kerberos3.1 环境我们在两个备用NameNode节点上实现Kerberos主从，并在其它需要接入认证的主机上安装Kerberos客户端。操作系统：CentOS 6.7/RedHart 6.7运行用户：root3.2 安装包我们是基于RedHart 6.7/CentOS 6.7操作系统，相关Kerberos安装包可在系统包中获取，相关rpm包列表如下:krb5-app1-clients*.rpmkrb5-libs*.rpmkrb5-app1-servers*.rpmkrb5-pkinit-openssl*.rpmkrb5-auth-dialog*.rpmkrb5-server*.rpmkrb5-dev1*.rpmkrb5-server-ldap*.rpmkrb5-workstation*.rpm3.2 安装过程3.2.1 准备工作确认添加主机名解析到?/etc/hosts?文件中。$ cat /etc/hosts localhost10 - master KDC11 - slave KDC注意：hostname 请使用小写，要不然在集成 kerberos 时会出现一些错误。3.2.2 安装 kdc server在 KDC (这里是master 和 slave) 上安装包 krb5、krb5-server 和 krb5-client。 rpm -ivh krb5-server*.rpm rpm – ivh krb5-libs*.rpm rpm -ivh krb5-auth-dialog*.rpm rpm -ivh krb5-workstation*.rpm在其他节点（kerberos 所有认证客户端）安装 krb5-libs、krb5-workstation rpm – ivh krb5-libs*.rpm rpm -ivh krb5-workstation*.rpm3.2.3 修改配置文件kdc 服务器涉及到三个配置文件：/etc/krb5.conf/var/kerberos/krb5kdc/kdc.conf/var/kerberos/krb5kdc/kadm5.acl配置 Kerberos 的一种方法是编辑配置文件 /etc/krb5.conf。默认安装的文件中包含多个示例项。$ cat /etc/krb5.conf [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = HADOOP.COM dns_lookup_realm = false dns_lookup_kdc = false clockskew = 120 ticket_lifetime = 24h renew_lifetime = 7d forwardable = true renewable = true udp_preference_limit = 1 default_tgs_enctypes = arcfour-hmac default_tkt_enctypes = arcfour-hmac [realms] HADOOP.COM = { kdc = :88 kdc = :88 admin_server = :749 } [domain_realm] . = HADOOP.COM = HADOOP.COM [kdc] profile=/var/kerberos/krb5kdc/kdc.conf说明：[logging]：表示 server 端的日志的打印位置[libdefaults]：每种连接的默认配置，需要注意以下几个关键的小配置 default_realm = HADOOP.COM：设置 Kerberos 应用程序的默认领域。如果您有多个领域，只需向 [realms] 节添加其他的语句。udp_preference_limit= 1：禁止使用 udp 可以防止一个Hadoop中的错误clockskew：时钟偏差是不完全符合主机系统时钟的票据时戳的容差，超过此容差将不接受此票据。通常，将时钟扭斜设置为 300 秒（5 分钟