linux 网络状态命令 详解linux运维工程师高级篇（大数据安全方向）(10)

疑难问题1：

Received Exception while testing connectivity to the KDC: Algorithm AES256 not enabled
**** Host: hdp261:88 (TCP)
java.lang.IllegalArgumentException: Algorithm AES256 not enabled
at sun.security.krb5.EncryptionKey.<init>(EncryptionKey.java:286)
at javax.security.auth.kerberos.KeyImpl.<init>(KeyImpl.java

解决：

1. 在Ambari server所在的主机和集群中的所有主机上，根据使用的JDK版本选择合适的JCE策略文件。
? Oracle JDK 1.7:
http://www.oracle.com/technetwork/java/javase/downloads/jce-7-
download-432124.html
? Oracle JDK 1.8:
http://www.oracle.com/technetwork/java/javase/downloads/jce8-
download-2133166.html

疑难问题2：

org.apache.hadoop.security.authentication.client.AuthenticationException: GSSException: Defective token detected (Mechanism level: GSSHeader did not find the right tag)

解决：

# kinit guest
Password for guest@CESHI.COM: ceshi123456.
 
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: guest@CESHI.COM
 
Valid starting       Expires              Service principal
11/28/2017 18:30:48  11/29/2017 18:30:48  krbtgt/CESHI.COM@CESHI.COM
11/28/2017 18:31:09  11/29/2017 18:30:48  HTTP/hdp140@
11/28/2017 18:31:09  11/29/2017 18:30:48  HTTP/hdp140@CESHI.COM

参考：

实战到此结束。后续再更新elasticsearcn安全实战。

总结：

1. Hadoop集群节点数多，配置和维护一个使用kerberos系统高性能，稳定的hadoop集群难度非常高。

2. Hadoop中的hdfs是一个文件系统，用户的认证和授权比较复杂，难度不低于linux系统的用户和组管理。

加上kerberos后，用户和用户组的管理更加复杂，通常一个合适的用户不能访问hdfs上的文件。linux 网络状态命令

3. Hadoop加上kerberos后，通常原来的用户和文件，可能都失效导致数据流失。

详解linux运维工程师高级篇（大数据安全方向）

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-66746-10.html